[Sessioni e Sicurezza] Uso di ini_set in hosting. Chiarimenti.

[wartpro]

Buongiorno e buona domenica a tutti!


Da neofita riguardo l'argomento sessioni e sicurezza, vorrei sapere una cosa. Sul mio sito, in hosting, ho la possibilità di settare attraverso ini_set la destinazione delle sessioni che verranno create durante la navigazione sul mio sito.

La domanda (da neofita ed estremo dubbioso) è: (e credo che la risposta sia "ovvia" )

- Solo io potrò accedere ai file di sessione dopo aver impostato la loro destinazione all'interno di una cartella del mio dominio??



Grazie a tutti.

[Ratatuia]

dipende quale directory imposti, se imposti una directory pubblica (ovvero raggiungibile tramite una richiesta HTTP) e senza le dovute precauzioni (.htaccess per bloccare l'accesso) rischi solo di fare più danni del dovuto.

[wartpro]

No. Imposterei una cartella creata all'interno del mio dominio. Al quale non è possibile (..) listare i file presenti al suo interno...quindi tantomeno accedervi...credo.

Magari potrei impostare una pagina index al suo interno con un redirect.

Al momento ti parlo da un punto di vista di..hosting windows.

[Ratatuia]

Originariamente inviato da wartpro
No. Imposterei una cartella creata all'interno del mio dominio. Al quale non è possibile (..) listare i file presenti al suo interno...quindi tantomeno accedervi...credo.

Magari potrei impostare una pagina index al suo interno con un redirect.

Al momento ti parlo da un punto di vista di..hosting windows.

o impedisci l'accesso a quella cartella tramite .htaccess (che funziona anche sotto windows)
o salvi in una cartella non pubblica
oppure rischi davvero che qualcuno possa recuperare in qualche modo la sessione

poi ovvio, tutto dipende da quanto sono importanti i dati che gestisci

[wartpro]

Non sono importantissimi. Diciamo che da 1 a 10 il livello di importanza è 3 ( ). Però mi piace "avere tutto sotto controllo".

.htaccess su windows..no Rata..non nel mio caso. Non ti dico il listino caratteristiche su cui andare a guardare.

Effettivamente inserire i file di sessione dentro una cartella del mio dominio...la renderebbe pubblica perchè...pubblico e il dominio e quindi le sue cartelle ( ). Però, per la tipologia di dominio creata..credo che la politica di index -> altra pagina potrebbe andare. E poi, con la index potrei registrarne gli accessi e fare delle operazioni di conseguenza.........


Ad ogni modo...il passaggio a Linux (e la possibilità di gestire l'htaccess) è in arrivo.

[wartpro]

Mi è venuta in mente una cosa...hai detto che funziona...cio significa che...

...anche se il mio hosting non me lo da...se me lo creo funziona???

[Ratatuia]

Originariamente inviato da wartpro
Mi è venuta in mente una cosa...hai detto che funziona...cio significa che...

...anche se il mio hosting non me lo da...se me lo creo funziona???

se il tuo hosting windows usa apache accetterò .htaccess

[wartpro]

...nel phpinfo() del mio sito...non appare nessun Apache...ma Microsoft IIS.

[Luke70]

Stai attento ad una cosa: se cambi la directory dove vengono salvate le sessioni, mi pare che il garbage collector non funzioni più e quindi devi implementarne uno tu per eliminare i file di sessione vecchi.

[wartpro]

Ciao Luke e grazie! Si mi pare di si. Ma comunque...riguardo le sessioni...e riguardo il loro contenuto.

Per fortuna, è possibile criptare contenuto salvato al loro interno attraverso le diverse funzioni che php ci mette a disposizione (base64_encode, ecc). Chiaro è che se nel momento in cui l'utente invia i dati...e nel middle c'è un man...allora il discorso cambia.

Altrimenti, finalmente, ho trovato il modo di:

- Criptare il contenuto che andrà nella sessione (ad esempio: $_SESSION['bla'] = $email)
- Ricevere, decriptare il contenuto della variabile di sessione..
- ..e..riportarlo nel campo dov'era stato immesso (magari erroneamente)..quindi posso anche far evitare all'utente di dover ridigitare i dati immessi precedentemente.


E....il tutto, attraverso un bel <form action=""> . Cioè che agisce su se stesso.


QUINDI..alla fine della (illuminante come sempre) discussione. Sia nel caso le sessioni io le salvi in una cartella del mio dominio, sia che no...il loro interno sarà cifrato.
(Tenendo sempre presente che non sto comunque andando a cifrare dati di importanza vitale)

..per me..è stato un traguardo