Sicurezza ip

[Leonraf]

Ciao a tutti!
mi chiedevo se in un database posso salvare un ip in chiaro, oppure se per questioni di sicurezza va cmq criptato. Mi chiedo questo perchè molti siti internet danno la possibilità di vedere il proprio ip, anche se quello degli altri non è quasi mai visibile... però trattandosi di dati salvati in database, per poterli vedere si presuppone sempre che un hacker si sia infiltrato...
Grazie mille a tutti.

[Santino83_02]

me son perso che c'entra "la possibilità di vedere il proprio ip" con quello degli altri etc etc?

[Leonraf]

Penso che se posso vedere il mio ip, forse in qualche sito internet questo viene salvato in chiaro in un database... è una mia ipotesi o utilizzano semplicemente un codice che ti stampa a video l'ip che possiedi tipo $_SERVER['REMOTE_ADDR']...

[Santino83_02]

Originariamente inviato da Leonraf
Penso che se posso vedere il mio ip, forse in qualche sito internet questo viene salvato in chiaro in un database... è una mia ipotesi o utilizzano semplicemente un codice che ti stampa a video l'ip che possiedi tipo $_SERVER['REMOTE_ADDR']...

l'ultima che hai detto. Ci sono come logico registri mondiali dove sono registrati gli ip, però non c'è registrato che l'ip a.b.c.d appartiene a Leonraf (a meno che tu non l'abbia comprato di persona), ma in genere c'è la società che ha comprato quell'ip (in genere, classi di ip) fra cui cadrà anche il tuo

[Leonraf]

quindi in sostanza ai fini della sicurezza non si deve lasciare in chiaro l'indirizzo ip di una persona all'interno del database... magari li cripto, perchè cmq è essenziale avere quei dati per evitare che una persona possa effettuare + volte una stessa operazione che magari non voglio che effettua.

[Santino83_02]

Originariamente inviato da Leonraf
quindi in sostanza ai fini della sicurezza non si deve lasciare in chiaro l'indirizzo ip di una persona all'interno del database... magari li cripto, perchè cmq è essenziale avere quei dati per evitare che una persona possa effettuare + volte una stessa operazione che magari non voglio che effettua.

Un controllo del genere su base ip è molto blando, perchè se io cambio il mio indirizzo IP posso ri-eseguire quella operazione. l'ip in genere lo puoi tenere in chiaro come log per dire che la persona X con IP Y ha effettuato quell'operazione in quel giorno.

[Leonraf]

Ho capito! Grazie mille per l'aiuto!

[Leonraf]

Ciao a tutti!
Vorrei sfruttare questo post per chiedervi una cosa sulla sicurezza della password se è possibile...
Nel form di registrazione e anche in quello di login si inseriscono, oltre a tutti gli altri dati, anche le password. Io ho fatto in modo che nel database vengano criptate le password, ma leggendo vari documenti in internet ho visto che è possibile, con un attacco particolare da parte di un maleintenzionato, visionare il traffico di rete, e quindi venire a conosienza eventualmente delle password che sono state inviate dall'utente al server. La mia domanda è questa: è necessario criptare le password prima dell'invio dal form di registrazione e poi anche dopo nel server?
Grazie mille.

[las]

Originariamente inviato da Leonraf
Ciao a tutti!
Vorrei sfruttare questo post per chiedervi una cosa sulla sicurezza della password se è possibile...
Nel form di registrazione e anche in quello di login si inseriscono, oltre a tutti gli altri dati, anche le password. Io ho fatto in modo che nel database vengano criptate le password, ma leggendo vari documenti in internet ho visto che è possibile, con un attacco particolare da parte di un maleintenzionato, visionare il traffico di rete, e quindi venire a conosienza eventualmente delle password che sono state inviate dall'utente al server. La mia domanda è questa: è necessario criptare le password prima dell'invio dal form di registrazione e poi anche dopo nel server?
Grazie mille.

se stiamo parlando di un attacco che prevede di intercettare il traffico di rete ti basta usare una comunicazione criptata tra il client e il server (tramite protocollo https) anche questa soluzione ha dei limiti ma è già un buon inizio (se non stiamo parlando del sito di una banca ).

Se invece il problema è un attacco che viene portato direttamente sul client, allora li come sviluppatore del sito tu non puoi farci niente; per capirci se il client ha un virus che visualizza ciò che scrive l'utente non c'è modo di intervenire, stà al proprietario del client tenere aggiornati i suoi sistemi di sicurezza per evitare queste situazioni, tu al massimo puoi implementare un sistema che prevede password variabili a seconda del momento in cui vengono digitate, in modo che quando l'hacker ne viene ha conoscienza sono comunque inutilizzabili.

[Leonraf]

Ciao, e grazie per avermi risposto.
Però avrei un' altra domanda: ho letto che dovrei implementare il protocollo https per cercare di evitare attacchi durante la trasmissione dei dati tra il client e il server. Però il mio sito internet è una specie di forum, quindi non contiene numeri di carte di credito o robe simili, ma soltante una username e una password con email e pochissime informazioni personali, quindi mi chiedevo se cmq è necessario lo stesso implementare questo tipo di sicurezza... Grazie mille per l'eventuale risposta.