[sicurezza]$_SERVER

[batterio]

Ciao ciao
come tanti tra voi sono alla ricerca continua del metodo più sicuro per proteggere le pagina admin.
Chiedo: è possibile permettere che alle pagine "segrete" accedano solo utenti collegati da un certo computer? O da una certa LAN?
Se questo è possibile, unendo questo filtro ad una password criptata, il livello di sicurezza è buono o non cambia nulla? Che dite?

[spoon25]

puoi limitare l'accesso a certi IP.

Se usi questo metodo (ovviamente gli IP autorizzati non devono corrispondere a centinaia di PC di pubblico utilizzo) associato a user e passw avrai certamente un buon livello di sicurezza (anche se molto dipende dal tipo di password, dove e come la salvi, come propaghi il login, ...).

[phoenixweb]

Altrimenti, utilizza un sistema di certificati come accade per molti servizi italiani di homebanking.
Fai installare il certificato sui computer autorizzati e il gioco è fatto (però è costosa come operazione).

Altrimenti, utilizza un altro sistema, ovvero invia un cookie ai computer abilitati all'accesso.
Fai in modo che si possono collegare solamente coloro con quel cookie.

Ovviamente il livello di sicurezza non è altissimo, in quanto:

1. il cookie è possibile inviarlo via e-mail e diffonderlo
2. i cookie si cancellano


Io vedo queste due soluzioni, oltre al blocco dell'ip.

[batterio]

Originariamente inviato da spoon25
puoi limitare l'accesso a certi IP.

Se usi questo metodo (ovviamente gli IP autorizzati non devono corrispondere a centinaia di PC di pubblico utilizzo) associato a user e passw avrai certamente un buon livello di sicurezza (anche se molto dipende dal tipo di password, dove e come la salvi, come propaghi il login, ...).

cosa significa che gli IP autorizzati non devono essere gli stessi di altre centinaia di PC?
io voglio dare il permesso di accesso a soli tre-quattro computer interni a due LAN diverse. Come si fa? Mi date almeno un suggerimento?

Per le password uso normalmente le sessioni+DB, come da articolo, e aggiungerei questo uso degli IP per aumentare la certezza. Non posso usare il sistema dei certificati solo perchè non ho soldi (mi è parso di capire che si paga...).

[spoon25]

se tu vuoi dare accesso a soli 2 PC di una LAN che ne conta un centinaio e il webserver non è all'interno della LAN, allora tutti i PC della LAN avranno accesso, non puoi ottenere l'IP del singolo PC della LAN ma solo l'IP pubblico della LAN (che normalmente è uno per tutta la LAN)

[batterio]

Originariamente inviato da spoon25
se tu vuoi dare accesso a soli 2 PC di una LAN che ne conta un centinaio e il webserver non è all'interno della LAN, allora tutti i PC della LAN avranno accesso, non puoi ottenere l'IP del singolo PC della LAN ma solo l'IP pubblico della LAN (che normalmente è uno per tutta la LAN)

ecco, a me interessa che possa accedere tutta la LAN, perfetto, ma solo quella LAN o un 'altra... ma come faccio?

[Fabio Heller]

Ciao,
puoi prendere spunto dall'autenticazione HTTP di Apache (che fa già quello che desideri) e se non vuoi usare quella prova a riprodurla in PHP

http://httpd.apache.org/docs/howto/auth.html

[batterio]

Grazie fabio_heller
ma non capisco una cosa:

For example, if you have someone spamming your message board, and you want to keep them out, you could do the following:

deny from 11.22.33.44

èscritto in quell'articolo: ma che senso ha se gli IP sono dinamici?!?!?
COME IDENTIFICO UNA LAN IN MODO UNIVOCO NELLA RETE?

[Fabio Heller]

Originariamente inviato da batterio

COME IDENTIFICO UNA LAN IN MODO UNIVOCO NELLA RETE?

Se gli IP sono dinamici o riconosci la classe a cui appartengono o non puoi distinguere i buoni dai cattivi in base all'ip

[batterio]

[B]
o riconosci la classe a cui appartengono o

cos'è la classe? scusa se insisto