Questione di Login: il migliore

[Quacky]

Salve a tutti,

da tempo, io ed alcuni amici stiamo portando avanti un progetto di una (che per non scendere in particolari chiamerò) virtual community.

Domando ai frequentatori del forum, sicuro di trovare una risposta soddisfacente ad un 'problema' che ci si è presentato.

Al momento di programmare il login & affini, abbiam compreso di non conoscere quale sarebbe la strada migliore; dunque a voi chiedo: per un login insieme sicuro e professionale, usereste le Sessioni, i Cookies oppure il semplice passaggio di parametri GET/POST?

Per chiunque sprechi energie a rispondermi, gradirei anche una breve motivazione

Grazie a todos

[skidx]

non sono mica tecniche esclusive quelle che hai citato

I parametri si passano tramite post o get, poi a login effettuato inizializzi una sessione il cui id, probabilmente, sarà tenuto anche su cookie.

Per la sicurezza?
Usa SSL, se puoi.

[Quacky]

Mh.. vediamo di capirci

'A login effettuato' tu parli di sessioni: io invece apro un trivio: o si continuano a passare i parametri user e psw tramite i files (pazzia dal lato del programmatore, ma forse non dal punto di vista della sicurezza), oppure si creano un unico cookie indipendente dalle sessioni, in cui si memorizzano user e psw tramite delle funzioni che agiscono sulle stringhe, oppure ancora, come dici tu, utilizziamo le sessioni.

Compresa la differenza?

[pixer]

Originariamente inviato da Quacky
Mh.. vediamo di capirci

'A login effettuato' tu parli di sessioni: io invece apro un trivio: o si continuano a passare i parametri user e psw tramite i files (pazzia dal lato del programmatore, ma forse non dal punto di vista della sicurezza), oppure si creano un unico cookie indipendente dalle sessioni, in cui si memorizzano user e psw tramite delle funzioni che agiscono sulle stringhe, oppure ancora, come dici tu, utilizziamo le sessioni.

Compresa la differenza?

E' una pazzia dal lato della sicurezza piuttosto che della programmazione.

Il login migliore è quello su database, c'è una pillola di daniele_dll a riguardo.

Ricorda anche che nessun metodo di login è sicuro.

[skidx]

Originariamente inviato da Quacky
o si continuano a passare i parametri user e psw tramite i files (pazzia dal lato del programmatore, ma forse non dal punto di vista della sicurezza)

Mi sa invece di cagata proprio dal punto di vista della sicurezza : ad ogni richiesta fai circolare di nuovo userid e password sulla rete, moltiplicando così le occasioni per intercettarli. Quei dati invece dovrebbero transitare in rete il meno possibile.

Originariamente inviato da Quacky
oppure si creano un unico cookie indipendente dalle sessioni, in cui si memorizzano user e psw tramite delle funzioni che agiscono sulle stringhe

Vincoli l'utente all'uso dei cookie, inoltre tutto ciò che sta sul client e fuori dal controllo, caldamente sconsigliato memorizzare user e password sul client.
I server sono generalmente più sicuri dei computer client, molto meglio le sessioni, secondo me.

[flessciato]

sbaglio o le sessioni non funzionano se non sono abilitati i cookie?

[pixer]

Originariamente inviato da flessciato
sbaglio o le sessioni non funzionano se non sono abilitati i cookie?

le sessioni sono lato server, non lato client.

[Quacky]

Perfettisimo.
Grazie della collaborazione

[max161]

Originariamente inviato da pixer
le sessioni sono lato server, non lato client.

No , ha ragione flessciato, le sessioni si basano su un cookie lato client che consiste in un codice che identifica la macchina e quindi le variabili memorizzate lato server, per cui se disabiliti i cookie col picchio che le sessioni funzionano.

[Admin5]

Per come me le ha spiegate il mio "prof" le sessioni funzionano anche se i cookie non sono abilitati, php per la gestione delle sessioni usa due strategia o i cookie o le variabili nascoste.
c'ho preso, o mi sbaglio?