Passaggio parametri fra due siti su due server differenti

[pireda]

Dovrei passare dei dati dalla pagina di un sito, ad un altra di un altro sito situato su un altro server.

Dato che i dati che devo passare sono di autenticazione, vorrei sapere qual è il modo più sicuro per farlo. Direi dunque di scartare querystring inviati con metodo GET. Via header con il metodo POST è abbastanza sicuro o ci sono strade migliori?

[daniele_dll]

aspé...non puoi farlo, sicurezza a parte, poi sul tuo sito come gestisci l'utente loggato? ti conviene farti piuttosto un backend che interroghi ad ogni pagina...+ lento probabilmente (ma di poco) ma estremamente più efficente

ti gestisci la sessione in locale da te e a ogni pagina autentichi l'utente, o comunque al momento del login (ad ogni pagina è meglio)

usando

codice:

$content = implode('', file('http://sito2.it/backend/auth.php?d=' . urlencode(base64_encode($username . '###' . $password))));
if ($content == '0')
    ... login non valido! ...
else
    ... è valido il login ...

dentro $content fai ritornare l'id dell'utente

la cosa non è che sia molto sicura pure cosi, però già eviti di ridirezionare l'utente alla pagina di autenticazione sul sito 2

per essere più sicuri potresti crittare il tutto usando mcrypt e crei una chiave che preimposti sui due siti in questo modo l'urlencode-base64_encode invece di applicarli all'username e password li applichi al contenuto crittografato che è infinitamente + sicuro!

se poi vuoi fare una cosa ancora migliore massi user e pass come md5 usando un salt (fisso anche questo) e poi quando fai la query cerchi gli MD5 ed in questo modo è moltoooo meglio xche non hai bisogno di mcrypt

ricordati solo che sul database che gestisce l'autenticazione la query sarà abbastanza pesante quindi se metti un campo come chiave unica nel quale inserisci l'md5 di user, pass e salt ogni volta che modifichi gli utenti è ancora meglio!

PS: a parte svariate vulnerabilità che potrebberò derivare la più pericolosa è quella del dns poisoning! Infatti se viene cambiato l'ip al quale l'indirizzo del secondo sito e viene fatto visualizzare un altro è possibile bucarti il sito! quindi è bene che insieme all'id ti fai inviare ad esempio l'ip + il timestamp unix + il salt (diverso dal precedente)
il timestamp unix xo lo devi inviare tu...quindi fai...
http://sito2.it/backend/auth.php?d=' . ..... .'&t=' . time() ...

cosi la chiave di autenticazione viene ricostruita dall'altra parte e ti viene inviata...tu la ricevi...ricomponi quella che dovrebbe essere la chiave di autenticazione (ovvero l'ip del server remoto che conosci, il timestamp unix ed il salt che hai deciso a priori) e rendi difficili l'esecuzione di attacchi al tuo sito

ovviamente se uno vuole entrare entra...xo...è sempre possibile rendergli le cose difficili

PS: studiaci un po su, perché ti ho buttato qui tutta una serie di consigli +/- utili e +/- fattibili che SICURAMENTE possono essere migliorati notevolmente ))

[pireda]

Il problema del gestire il login non esiste, fai conto che entrambi i siti ed i database li abbia fatti io, ma risiedono su server diversi, e su server diversi sono costretti a rimanere...
Però come detto prima hanno gli stessi account per il login.

[daniele_dll]

mmm ma devi gestire l'autenticazione in maniera centralizzata giusto?

[pireda]

si, diciamo che quando un utente effettua il login sul sito1, deve poter essere reindirizzato al sito2 come utente loggato. Ripeto, io chiedo solo qual è il modo più sicuro di passare i parametri, poi come fare l'autenticazione non è un problema.

[daniele_dll]

ti ho detto quale può essere un modo (credo) sicuro per fargli fare una autenticazione di questo tipo

[pireda]

Ok, provo a muovermi in quel senso. Grazie!