Cookie e sicurezza

[artux]

Ciao,

Ho un dubbio per quanto riguarda la sicurezza con l'utilizzo dei cookie.

Se creo un login, l'utente inserisce username e password corrette ad esempio si attiva un cookie chiamato accesso=si.
Successivamente nelle schermate di amministrazione controlla se il cookie è a si, se è a si mostra l'area amministrativa.

Se un hacker sapesse questo, e si creasse il suo cookie con tutti i vari parametri più l'accesso=si riuscirebbe ad entrare? Se si. come si può risolvere questo problema nel modo più corretto?

Grazie

[oly1982]

Premessa: ci si può autocreare il cookie che ci pare con il valore che ci pare.

Ergo: il tuo dubbio è fondato.

Per risolvere devi salvare nel cookie qualcosa che sia "dinamico" e "temporaneo".

Esempio stupido:

Codice PHP:

<?php
// dinamico: questo cookie sarà diverso di giorno in giorno
// temporaneo: questo cookie scadrà in automatico a mezzanotte (essendo che scatta il giorno successivo)

$valore_cookie = sha1($username . $password . date('d-m-y') );
?>

[garakkio]

Forse sarebbe meglio basare l'autenticazione del tuo sito sulle sessioni (come fanno tutti).

[oly1982]

Originariamente inviato da garakkio
Forse sarebbe meglio basare l'autenticazione del tuo sito sulle sessioni (come fanno tutti).

ovviamente... ma utilizzando le sessioni stai comunque scomodando i cookie (SID).
E inoltre se vuoi consentire l'autologin al successivo accesso un cookie di questo tipo dovrai pur inviarlo...

[garakkio]

Io non ho detto di non usare i cookie: ho detto che per l'autenticazione è il caso di usare le sessioni (che poi usano anche i cookie.
Il discorso della funzionalità "ricordami" è accessorio. Posto che l'autenticazione usi le sessioni, ci sono vari modi per implementare un "ricordami" in modo abbastanza sicuro (p.e. inserendo un hash di nome utente e password). Comunque sarebbe meglio considerare l'autenticazione con "ricordami" come inferiore rispetto a quella con login (p.e. richiedendo comunque il reinserimento della password per operazioni importanti)