Pagina 1 di 7 1 2 3 ... ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 63

Discussione: Dubbio sicurezza login

  1. #1
    Utente di HTML.it
    Registrato dal
    Jan 2004
    Messaggi
    444

    Dubbio sicurezza login

    In molti sistemi di login viene appeso all'URL l'ID di sessione (indipendentemente dal fatto che esse siano gestite con le sessioni di PHP o con sessioni fatte in altro modo), ma ora mi chiedo: passando il link ad un amico in cui c'è appeso l'id di sessione non ci si ritrova con sicurezza = 0? Cioè, se lui ha il mio link, non ha direttamente accesso come mio account??? quali altri controlli vengono fatti in un sistema sicuro? Io pensavo all'IP ma non mi sembra una buona soluzione, visto che alcune macchine collegate hanno lo stesso IP...

    Ovviamente parto dal presupposto che non siano necessari cookie per navigare il sistema, altrimenti il problema sarebbe già risolto...

    Grazie a chiunque mi risponderà.
    *********************************
    Andrea
    *********************************

  2. #2
    Thò! un bolognese...

    Posso solo dirti che in generale secondo me non è conveniente passare l'ID di sessione in GET, un po' per motivi di sicurezza, un po' perchè non ne ho mai capito l'utilità: se esiste in ID di sessione significa quella sessione esiste e quando/se serve quel dato è sempre raggiungibile tramite l'array $_SESSION.
    Personalmente non passo mail il SID in GET, poi forse sono io che sbaglio...

  3. #3
    Utente bannato
    Registrato dal
    Sep 2005
    Messaggi
    121
    anche io controllo la sessione in ogni pagina e non passo niente di "pericoloso" via GET

  4. #4
    Utente di HTML.it
    Registrato dal
    Jan 2004
    Messaggi
    444
    si ma l'id in qualche modo dovrete memorizzarlo, almeno in un cookie
    *********************************
    Andrea
    *********************************

  5. #5
    Originariamente inviato da Squall1988
    si ma l'id in qualche modo dovrete memorizzarlo, almeno in un cookie
    si, infatti... lo spiegate anche a me?
    1,2,3,4,5,10,100 passi!

  6. #6
    Utente di HTML.it
    Registrato dal
    Jan 2004
    Messaggi
    444
    è una cosa strana, mi insospettisce alquanto...
    *********************************
    Andrea
    *********************************

  7. #7
    Correggo quanto ho scritto prima: non sono sicuro che il SID sia estraibile dall'array $_SESSION, non l'ho mai fatto.
    Dunque, a me risulta che php gestisca la sessione salvando file di sessione sul server web e un cookie sul client.
    Se si impone a php di non fare uso di cookie per il client, il SID verrà accodato AUTOMATICAMENTE all'url in GET, sempre.
    Mi viene il dubbio di non aver compreso la domanda...

  8. #8
    Originariamente inviato da insanelight
    intendi che modificando il php.ini del server?

    scusa potresti fare un esempio di come gestisci le sessioni senza cookie?

    grazie
    1,2,3,4,5,10,100 passi!

  9. #9
    Utente di HTML.it L'avatar di raf86
    Registrato dal
    Feb 2001
    Messaggi
    175
    io mi sono fatto uno script per le sessioni che usa il database senza usare le sessioni native di php..
    funziona sia con i cookie che con il session id in get..il problema della sicurezza non c'è (o almeno è limitato), nel senso che io controllo che all'id di sessione corrisponda lo stesso ip, quindi passando un id di sessione a un amico non si corre il rischio di passargli anche lo stato di "loggato" a meno che non sia all'interno della stessa rete locale..e quindi con lo stesso ip.


    p.s. : ho scelto di usare anche il session id via get perchè altrimenti quelli con cookie disattivati (seppur pochi) sarebbero impossibilitati alla navigazione..
    Staiano Raffaele: web agency di Realizzazione siti web, posizionamento siti internet e molto altro

  10. #10
    Originariamente inviato da raf86 p.s. : ho scelto di usare anche il session id via get perchè altrimenti quelli con cookie disattivati (seppur pochi) sarebbero impossibilitati alla navigazione..
    ma come fai ad impostare il passaggio via GET?

    1,2,3,4,5,10,100 passi!

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.