sicurezza sistema di autenticazione

[aquatimer2000]

Ciao a tutti, sto scrivendo un sistema di autenticazione per un'area riservata del mio sito.

Quali sono le cose da verificare per far in modo che il sistema di autenticazione risulti sicuro.

descrivo in piccoli passi come ho proceduto:

1) utenti e password sono salvati in un database. le password sono criptate con sistema md5;
2) la pagina di verifica_login, se trova una combinazione user/password corrispondente a quelli inviati con una form method="post", salva in due variabile di sessione sia il nome che il cognome dell'utente.
3) in tutte le pagine da proteggere, all'inizio della pagina c'è uno script che verifica che le due variabili con nome e cognome esistano: se esistono, mostrano il contenuno del file, se non esistono, si viene indirizzati alla pagina di login;

ora avrei un paio di domande forse stupide:

1) le varibili di sessione, restano attive nel browser dell'utente fino a che il browser è aperto o fino a che la sessione non viene cancellata giusto ? è possibile che queste variabili vengano lette o modificate da altri utenti; ci sono dei metodi più sicuri ?

2) sia user che password vengono passate alla pagina di verifica_login attraverso una form con method="post". è un metodo sicuro o ci sono alternative migliori?

grazie a tutti e ben vengano consigli ... non sono molto esperto !

[neroux]

Originariamente inviato da aquatimer2000
1) le varibili di sessione, restano attive nel browser dell'utente fino a che il browser è aperto o fino a che la sessione non viene cancellata giusto ? è possibile che queste variabili vengano lette o modificate da altri utenti; ci sono dei metodi più sicuri ?

Le variabili della sessione no, perché restano sempre sul server. L'unica cosa che viene mandata verso il cliente è l'id della sessione. Quella poi si può anche "rubare" per fare il "session hijacking" (un terzo tiene controllo della sessione).
In questo punto uno può "migliorare" la sicurezza salvando anche l'indirizzo IP e/o browser ID dell'utente. Mentre l'IP sarà più o meno sicuro ci possa creare dei problemi con utenti dietro un proxy, quello è meno problematico col browser ID, ma quello può anche essere falsificato.

Originariamente inviato da aquatimer2000
2) sia user che password vengono passate alla pagina di verifica_login attraverso una form con method="post". è un metodo sicuro o ci sono alternative migliori?

Fino a quando non usi un tipo di digest (come HTTP digest authentication) ci va sempre la password in chiaro sopra il cavo - qui dovresti usare HTTPS per criptarla.

[aquatimer2000]

ciao neroux !

per quanto riguarda https per ora non posso usarlo...

sono interessato invece ad utilizzare anche il salvataggio dell'IP e del browser ID

sai spiegarmi meglio come realizzarlo ?

Ciao!

[neroux]

Basta salvare $_SERVER['REMOTE_ADDR'] e $_SERVER['HTTP_USER_AGENT'] dopo il login nella sessione e verificarli dove hai bisogno.

Però attenzione, come ho scritto dipendere sull' IP ti possa creare dei problemi con utenti che la cambino durante la sessione (usando un proxy cluster etc.).

[aquatimer2000]

un chiarimento:

nella pagina verifica_login, se il login è stato effettuato correttamente, memorizzo:

$_SESSION['ip']=$_SERVER['REMOTE_ADDR'];
$_SESSION['brows']=$_SERVER['HTTP_USER_AGENT'];

cosa devo verificare nelle pagine che devo proteggere ?!?

[neroux]

Se i valori sono ancora gli stessi.

[aquatimer2000]

quacosa tipo:

Codice PHP:

<?php
//pagina da proteggere

session_start();
$ip=$_SERVER['REMOTE_ADDR'];
$brows=$_SERVER['HTTP_USER_AGENT'];

if($ip!="$_SESSION['ip']" OR $brows!="$_SESSION['brows']")
{
    header("location: login.php");
    exit();
}
?>

può andare?

[neroux]

Se fai

Codice PHP:

if ($ip!=$_SESSION['ip'] || $brows!=$_SESSION['brows']) 


sì

[aquatimer2000]

ma come mi hai suggerito vengo rimandato al login solo se cambia sia l'IP che brows...

non basta solo un elemento differente per poter essere rimandato al login?!?

ah... scusa.... || significa "e" ?

[ctpp]

Originariamente inviato da aquatimer2000
ciao neroux !

per quanto riguarda https per ora non posso usarlo...

Ciao!

Cripta la password in locale