area admin, proprietà e sicurezza. consigli?

[StErMi]

volevo incominciare a realizzare un area admin. sono un neofita ma imparo in fretta quindi non c'è problema anche se la cosa dovesse risultare alquanto difficile :P

ho gia creato dei moduli per il mio beta site ( dove faccio le prove :P ) e adesso voglio realizzare l'area admin per "allenarmi".

Qualche consiglio? nell'area admin un webmaster cosa ci dovrebbe mettere? "preferenze" per quanto riguarda i cookie? tipo metatag o altre cazzate? help ( sto parlando di un area admin che poi dovrei usare per un futuro lavoro da programmatore per creare siti di aziende.

Riguardo alla sicurezza? quali sono i migliori approcci?

scusate per la poca chiarezza ma non saprei proprio come esprimermi **

[StErMi]

up? magari qualche screenshot

[fcaldera]

Lascia perdere le screenshot, concentrati sulla logica.

Un'area riservata deve avere accesso controllato, quindi prevedi la possibilità di inserire una login e password. In caso di accessi multipli dovresti prevedere di vari diritti di accesso (chi può fare che cosa). Questi dovrebbero essere memorizzati su un tabella di un DB. Le password nn vanno salvate in chiaro ma usando MD5 sulla password digitata dall'utente (meglio ancora se crei un MD5 su una stringa prefissata concatenata alla password)

Stabilito questo, all'accesso devi usare le sessioni per verificare l'avvenuta autenticazione su ciascuna delle pagine: se la sessione è scaduta o non settata si riporta l'utente alla pagina di login.

Le pagine che accettano la lettura con $_REQUEST dovrebbero essere convertite in $_POST (per ovvie ragioni di sicurezza) e dovresti sempre effettuare una pulizia dei dati passati alla pagina, soprattutto quando devono essere inseriti in un comando SQL.

In più potresti usare i vari metatags per evitare la memorizzazione in cache delle pagine amministrative.


Todo claro?

[StErMi]

l'ultimissima parte no...

uso gia sessioni ^^

con quelle faccio accedere certi user e altri no ^^

[IlNata]

Dato che ci siamo ti faccio una domanda sulle sessioni..

Il loro grande problema è stato risolto?
Ovvero il problema è che sul server i file di sessione erano accessibili da tutti e quindi anche modificabili, per bucare un'area basata su sessioni bastava quindi avere uno spazio sullo stesso server, accedere alle sessioni, fregare i dati e loggarsi, sostituire i propri con quelli di un'altra sessione e festa fatta..

Ora appunto non so se questo problema è stato risolto su apache.. Sai qualcosa in merito?
grazie ciao ciao

[piero.mac]

Presto risolto ... non mettere i dati user e pwd nella variabile di sessione. Oltretutto servono al classico belino a vela.

[Baoh]

Originariamente inviato da fcaldera
Le pagine che accettano la lettura con $_REQUEST dovrebbero essere convertite in $_POST (per ovvie ragioni di sicurezza)

Le "ovvie" ragioni di sicurezza non mi sono chiare, anzi che io sappia non c'è nessun motivo di preoccupazione.
La cosa importante è prendere le variabili dal giusto serbatoio ($_COOKIE, $_SESSION se parliamo di sicurezza) quando si vuole essere sicuri che da quel serbatoio provengano

[Baoh]

Originariamente inviato da IlNata
Il loro grande problema è stato risolto?
Ovvero il problema è che sul server i file di sessione erano accessibili da tutti e quindi anche modificabili, per bucare un'area basata su sessioni bastava quindi avere uno spazio sullo stesso server, accedere alle sessioni, fregare i dati e loggarsi, sostituire i propri con quelli di un'altra sessione e festa fatta..

Non è mai stato un problema se non per chi ne ignorava il funzionamento.

Se il fornitore di hosting è così sconsiderato da mettere le sessioni in un luogo raggiungibile a tutti senza abilitare il safe_mode o impostare adeguatamente i permessi in Apache 2....
il programmatore può sempre modificare il sistema con proprie impostazioni(decidere dove i file vengono salvati) e addirittura mettere le sessioni su database

[Uzumaki]

Originariamente inviato da StErMi
volevo incominciare a realizzare un area admin. sono un neofita ma imparo in fretta quindi non c'è problema anche se la cosa dovesse risultare alquanto difficile :P

ho gia creato dei moduli per il mio beta site ( dove faccio le prove :P ) e adesso voglio realizzare l'area admin per "allenarmi".

Qualche consiglio? nell'area admin un webmaster cosa ci dovrebbe mettere? "preferenze" per quanto riguarda i cookie? tipo metatag o altre cazzate? help ( sto parlando di un area admin che poi dovrei usare per un futuro lavoro da programmatore per creare siti di aziende.

Riguardo alla sicurezza? quali sono i migliori approcci?

scusate per la poca chiarezza ma non saprei proprio come esprimermi **

Se posso darti un consiglio, dal basso della mia assoluta ignoranza, a mio avviso puoi prendere spunto da un cms ben fatto come xoops, se guardi la sua area admin credo che puoi farti un'idea piuttosto precisa delle funzionalità e anche delle opzioni di sicurezza, anche osservando moduli come Protector.

[IlNata]

Originariamente inviato da Baoh
($_COOKIE, $_SESSION se parliamo di sicurezza) quando si vuole essere sicuri che da quel serbatoio provengano

Non penso che con il normale http tu possa essere sicuro al 100% della provenienza dei dati.. Se vuoi proprio essere sicuro allora bisognerebbe usare https con la firma digitale.. allora si che saremmo quasi sicuri..

Originariamente inviato da piero.mac
Presto risolto ... non mettere i dati user e pwd nella variabile di sessione. Oltretutto servono al classico belino a vela.

Non è così facile piero.. Non è questione di user e password.. la questione è questa. se il sistema lo basi sulle sessioni, al momento del log di un'utente memorizzi qualcosa tipo l'userid in una variabile di sessione e poi sulle altre pagine ti basi su quella variabile e basta.. ma se uno prende si logga e sostituisce nelle variabili di sessione il suo id con quello magari dell'amministratore è un problema..
Io nel mio memorizzo l'id nelle sessioni e l'ip sul database al corrispondente id.. Un po' meglio ma anche questo non è un gran chè.

Lo so ora qui stiamo andando verso la paranoia però c'è sempre questa possibilità.. Effettivamente il database sarebbe la meglio cosa ma è cmq più difficile da gestire che non utilizzare direttamente le sessioni di apache..

ciao ciao