meglio le sessioni su database... questo ho appreso nelle poche lune che ho passato.
augh
meglio le sessioni su database... questo ho appreso nelle poche lune che ho passato.
augh
La sicurezza deve avere prima di tutto il riferimento a "che cosa" vuoi proteggere e poi "da chi".Originariamente inviato da mark2x
A parte che la seconda parte sembra più un proverbio indiano...
ma... sei dell'opinione veritas in medio, da ciò che capisco. Right?
Date le priorita' adotti gli strumenti piu' adeguati.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Beh, probabilmente hai ragione (teoricamente lo penso anch'io).Originariamente inviato da andrea.paiola
meglio le sessioni su database... questo ho appreso nelle poche lune che ho passato.
augh
Ma... tutto sommato finora grossi limiti e problematicità nelle sessioni classiche io non ne ho trovati.
Enuclei le motivazioni che sottendono la tua affermazione*?
Grazie.
* ma che ho detto??
Gestore documentale aziendale.Originariamente inviato da piero.mac
La sicurezza deve avere prima di tutto il riferimento a "che cosa" vuoi proteggere e poi "da chi".
In rete locale, proteggo (vorrei proteggere per bene) dati sensibili (documenti aziendali) dagli utenti che non hanno i diritti per visualizzarli.
poi magari i dati sono .xls o .doc raggiungibili tranquillamente dalla rete locale di win...
i dati di connessione sono di certo su un db. i dati sensibili (documenti) quasi certamente no. In locale sono ben diverse le misure da prendere..... prima di tutto user e privilegi da ben amministrare sui file e directories .... non si entra solo con HTTP....
Vedi tu quale sia la tua realta'....
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
IO PARLAVO DI WEBOriginariamente inviato da mark2x
Enuclei le motivazioni che sottendono la tua affermazione?
http://php.html.it/articoli/leggi/87...tive-in-php/2/
certo se il server non è condiviso sei a cavallo...Fin qui la definizione e lo scopo delle sessioni, ma una domanda si pone obbligatoriamente: quanto sono sicure ed affidabili, così come sono congegnate ? La risposta, ovvia, è che sono "abbastanza" sicure (ammesso che la parola sicurezza, sul web e non solo, abbia un reale significato), non foss'altro per la fiducia che dobbiamo ai creatori del nostro amato linguaggio.
Questo mio convincimento, è radicalmente mutato dopo la lettura del libro Programmare in PHP e, segnatamente, del passo in cui si parlava di vari problemi legati alla sicurezza; la certezza di cui sopra, già incrinatasi, ha subito poi lo scossone definitivo quando ho letto tra gli autori del manuale il nome di Rasmus Lerdorf, colui che è unanimemente riconosciuto come l'inventore di PHP e che fa attivamente parte del gruppo ufficiale di sviluppo.
Fa notare, in breve, il buon Rasmus, che i file delle sessioni appartengono tutti allo stesso utente (l'utente di Apache, nobody di default) e vengono tutti salvati nella stessa directory, accessibile a tutti, in lettura e scrittura. Ciò comporta che tutti i files di sessione possono essere letti da tutti gli script php presenti su quel server, con possibili conseguenze poco piacevoli.
Naturalmente questa è la situazione che si viene a creare, di norma, su un server condiviso, se si è proprietari del server il problema non si pone minimamente, ma tanto basta ad allarmare e a consigliare estrema prudenza nell'uso delle sessioni di php4. Conclude Rasmus con la sibillina frase "il posto più sicuro in cui memorizzare dati è un database".
su un server di rete locale i problemi sono altri (gestione degli utenti e dei relativi permessi fatta come si deve)... ogni utente deve poter fare solo *certe* cose e non ci devono essere account "fasulli".
Le password è meglio se le decide l'amministratore e devono essere composte da stringhe semicasuali e molte altre cosucce.
No, sono ZIP e PDF irraggiungibili via LAN (nessuna cartella condivisa e password lunga e segreta).Originariamente inviato da piero.mac
poi magari i dati sono .xls o .doc raggiungibili tranquillamente dalla rete locale di win...
Ovvio. "Hashati".i dati di connessione sono di certo su un db.
Il server è dedicato. E vi è un sistemista che ne tratta la sicurezza. Ti dirò, non si entra nè via filesystem nè richiamando lo ZIP via HTTP (il 90% delle applicazioni si preoccupa della sicurezza e poi espone il file al link direttoi dati sensibili (documenti) quasi certamente no. In locale sono ben diverse le misure da prendere..... prima di tutto user e privilegi da ben amministrare sui file e directories .... non si entra solo con HTTP....).
ZIP e PDF sono nascosti via .htaccess. In più sono criptati (molto "blandamente").
Il tuo quote dice che i file di sessione sono salvati tutti nella medesima cartella. Ebbene, proprio questo è stato negato in questo 3d...Originariamente inviato da andrea.paiola
...
[No, la mia app è standalone su server dedicato]
[Nota: complimenti a chi ha scritto l'articolo, una volta tanto ci si può beare leggendo un bell'Italiano!!]
1) nell'articolo si parlava di server condivisi e con impostazioni piuttosto diffuse (che salvano nella stessa cartella le sessioni)Originariamente inviato da mark2x
Il tuo quote dice che i file di sessione sono salvati tutti nella medesima cartella. Ebbene, proprio questo è stato negato in questo 3d...
[No, la mia app è standalone su server dedicato]
[Nota: complimenti a chi ha scritto l'articolo, una volta tanto ci si può beare leggendo un bell'Italiano!!]
2) abbi rispetto per gm
3) non ho capito di cosa ti preoccupi visto che c'è un'amministratore che se ne occupa :master:
@andrea.paiola: per la verità... volevo solo sapere perchè reputi migliori le sessioni su db rispetto a quelle su filesystem...
Permessi di invio
Rispondi quotando