Le SESSION di php come autenticazione sono sicure?

**Jack991** · 10-12-2010, 17:18

Salve...

questa volta una domandina riguardo le SESSION di PHP.

Le SESSION sono un metodo sicuro per autenticare un utente?
E' possibile per un ipotetico cracker, diciamo, falsare il vettore $_SESSION, che pur sempre rimane una variabile del server?

Il metodo che uso io per autenticare le pag. è il seguente:

codice:

<?php session_start(); ?>

...

<?php 

if(isset($_SESSION['autenticato']) && $_SESSION['autenticato'] == "si" && isset($_SESSION['nomeutente'] )){ 

... vedi contenuto protetto ...

}else{ 

...form di login ...

}

?>

chiaramente $_SESSION['autenticato'] e $_SESSION['nomeutente'] vengono settati una volta accertati che i dati di login siano corretti.

Quanto è sicuro un metodo del genere?

Qualche hint/trick da consigliare?

un grazie in anticipo

**giennekappa** · 10-12-2010, 17:34

Il php è un linguaggio sicurissimo. Gli unici problemi possono essere i programmatori!

Giusto un appunto.
Sarebbe bastato anche solo:
if( isset($_SESSION['nomeutente'] ) ) {
..ok..
}

e poi non ho capito perché un doppio controllo su:

if( isset($_SESSION['autenticato']) && $_SESSION['autenticato'] == "si" )

perché basterebbe anche solo:
if( $_SESSION['autenticato'] == "si" )

logicamente se usi quello che ho scritto nella riga qui sopra, quando l'utente fa il logout
gli fai fare un session destroy e un unset($_SESSION['autenticato'])
CIAO!

**lusor** · 10-12-2010, 17:38

vai tranquillo

**chumkiu** · 10-12-2010, 17:46

In genere sono ragionevolmente sicure. MA...
Se sei su hosting condiviso e se il server non è perfettamente configurato, possono essere altamente insicure.
Questo perché su hosting condiviso è possibile che tu divida il server con un altro utente. Questo utente può usare le sessioni nello stesso tuo modo (inconsapevolmente oppure per attaccarti volontariamente).
SE il Server non divide il path dove registra le sessioni a seconda degli utenti, succede che le sessioni sono salvate in un unico calderone. Un malintenzionato può loggarsi nell'altro sito, sfruttare l'id di sessione, crearsi un cookie per il tuo usando l'id dell'altro ed il gioco è fatto. Ovviamente se tu usi chiavi di sessioni molto banali (autenticato=1, admin=1 ecc) è tutto piu' semplice.

E' difficile che al giorno d'oggi un sistemista di un hosting (decente) non stia attento a questo... ma non si sa mai. =)

se imposti il name di una sessione aumenti di un livello la tua sicurezza.
Oppure ancora puoi non usare direttamente le chiavi ma un array, in modo da poter complicare il tutto, es:

Codice PHP:


$_SESSION['miaparolasegreta']['admin']=1;

in questo modo se non esiste l'array $_SESSION['miaparolasegreta'] distruggi la sessione e richiedi il login perché probabilmente qualcuno si è creato la session "da un'altra parte".
Se utilizzi un database ancora meglio dovresti evitare cose tipo: admin=1, ma puntare a un id (meglio RID) di un utente salvato nel database.

Ripeto: è pignoleria, perché dovrebbero verificarsi troppi "SE" per poter fare un attacco del genere... ma non si sa mai, no?

**Jack991** · 10-12-2010, 17:52

celeri e puntuali, grazie mille!

**websun** · 22-12-2010, 10:54

Sempre in merito di sicurezza, siccome è da poco che mi sono affacciato al mondo php
volevo chiedervi se in un sistema di autenticazione come quello proposto ,qualcuno ammesso che conoscesse il nome della variabile di sessione potrebbe settarla direttamente via url?
esempio:
http://www.sito.it/login.php?$_SESSION['autenticato'] =si

**bstefano79** · 22-12-2010, 10:59

Originariamente inviato da websun
Sempre in merito di sicurezza, siccome è da poco che mi sono affacciato al mondo php
volevo chiedervi se in un sistema di autenticazione come quello proposto ,qualcuno ammesso che conoscesse il nome della variabile di sessione potrebbe settarla direttamente via url?
esempio:
http://www.sito.it/login.php?$_SESSION['autenticato'] =si

anche se fosse consntito poi dovrebbe fare $_GET['$_SESSION['autenticato']'] e non direttamente $_SESSION['autenticato']

**Diego_vl** · 22-12-2010, 11:08

Originariamente inviato da websun
Sempre in merito di sicurezza, siccome è da poco che mi sono affacciato al mondo php
volevo chiedervi se in un sistema di autenticazione come quello proposto ,qualcuno ammesso che conoscesse il nome della variabile di sessione potrebbe settarla direttamente via url?
esempio:
http://www.sito.it/login.php?$_SESSION['autenticato'] =si

No.

**websun** · 22-12-2010, 11:15

Scusate se insisto mi sapete dire a livello teorico perchè nn può succedere??

**bstefano79** · 22-12-2010, 11:29

intanot perchè non si possono usare gli apici gel get poi ti ho spiegato sopra cosa dovresti fare per recuperare quella variabile dal get anche se fosse consentito

Discussione: Le SESSION di php come autenticazione sono sicure?

Strumenti discussione

Ricerca discussione

Visualizza

Le SESSION di php come autenticazione sono sicure?

Permessi di invio