Dubbio sicurezza login

**Squall1988** · 26-10-2005, 10:58

In molti sistemi di login viene appeso all'URL l'ID di sessione (indipendentemente dal fatto che esse siano gestite con le sessioni di PHP o con sessioni fatte in altro modo), ma ora mi chiedo: passando il link ad un amico in cui c'è appeso l'id di sessione non ci si ritrova con sicurezza = 0? Cioè, se lui ha il mio link, non ha direttamente accesso come mio account??? quali altri controlli vengono fatti in un sistema sicuro? Io pensavo all'IP ma non mi sembra una buona soluzione, visto che alcune macchine collegate hanno lo stesso IP...

Ovviamente parto dal presupposto che non siano necessari cookie per navigare il sistema, altrimenti il problema sarebbe già risolto...

Grazie a chiunque mi risponderà.

**insanelight** · 26-10-2005, 11:36

Thò! un bolognese...

Posso solo dirti che in generale secondo me non è conveniente passare l'ID di sessione in GET, un po' per motivi di sicurezza, un po' perchè non ne ho mai capito l'utilità: se esiste in ID di sessione significa quella sessione esiste e quando/se serve quel dato è sempre raggiungibile tramite l'array $_SESSION.
Personalmente non passo mail il SID in GET, poi forse sono io che sbaglio...

**stabilo** · 26-10-2005, 11:51

anche io controllo la sessione in ogni pagina e non passo niente di "pericoloso" via GET

**Squall1988** · 26-10-2005, 11:56

si ma l'id in qualche modo dovrete memorizzarlo, almeno in un cookie

**i_am_antipop** · 26-10-2005, 12:23

Originariamente inviato da Squall1988
si ma l'id in qualche modo dovrete memorizzarlo, almeno in un cookie

si, infatti... lo spiegate anche a me?

**Squall1988** · 26-10-2005, 12:28

è una cosa strana, mi insospettisce alquanto...

**insanelight** · 26-10-2005, 12:45

Correggo quanto ho scritto prima: non sono sicuro che il SID sia estraibile dall'array $_SESSION, non l'ho mai fatto.
Dunque, a me risulta che php gestisca la sessione salvando file di sessione sul server web e un cookie sul client.
Se si impone a php di non fare uso di cookie per il client, il SID verrà accodato AUTOMATICAMENTE all'url in GET, sempre.
Mi viene il dubbio di non aver compreso la domanda...

**i_am_antipop** · 26-10-2005, 14:03

Originariamente inviato da insanelight

intendi che modificando il php.ini del server?

scusa potresti fare un esempio di come gestisci le sessioni senza cookie?

grazie

**raf86** · 26-10-2005, 14:19

io mi sono fatto uno script per le sessioni che usa il database senza usare le sessioni native di php..
funziona sia con i cookie che con il session id in get..il problema della sicurezza non c'è (o almeno è limitato), nel senso che io controllo che all'id di sessione corrisponda lo stesso ip, quindi passando un id di sessione a un amico non si corre il rischio di passargli anche lo stato di "loggato" a meno che non sia all'interno della stessa rete locale..e quindi con lo stesso ip.

p.s. : ho scelto di usare anche il session id via get perchè altrimenti quelli con cookie disattivati (seppur pochi) sarebbero impossibilitati alla navigazione..

**i_am_antipop** · 26-10-2005, 14:26

Originariamente inviato da raf86 p.s. : ho scelto di usare anche il session id via get perchè altrimenti quelli con cookie disattivati (seppur pochi) sarebbero impossibilitati alla navigazione..

ma come fai ad impostare il passaggio via GET?

Discussione: Dubbio sicurezza login

Strumenti discussione

Ricerca discussione

Visualizza

Dubbio sicurezza login

Permessi di invio