In sessione si salva il login, NON la password. Una volta verificata non serve più.Originariamente inviato da gianf_tarantino
Scusa, e dove vuoi che salvi i dati del log-in se non nella sessione? E poiché è più sicuro che la sessione venga trasmessa solo attraverso cookie, ho impostato il php per fare questo.
Questo è diverso da quello che hai scritto prima. Una cosa è verificare i permessi dell'utente presentato, una cosa è ripresentarlo ad ogni pagina.Originariamente inviato da gianf_tarantino
Ad ogni pagina controllo se la login e la password che l'utente ha fornito, gli diano effettivamente i permessi per poter accedere alle pagine riservate.
Evitando di fare ironia su un attaccante che si basi su un concetto del genere, l'articolo che citi parla chiaramente di "programmatore paranoico". Se vuoi avventurarti su quel sentiero, accomodati pure, ma non sperare nella mia approvazione.Originariamente inviato da gianf_tarantino
Nelle pagine interne, io VOLGIO RINNOVARE una sessione esistente SOLO SE la sessione è EFFETTIVAMENTE ESISTENTE. Questo perché come dice ad un certo punto nell'indirizzo che ho su indicato
"Un attaccante malevolo potrebbe richiamare ciclicamente una qualsiasi pagina del sito costringendo il server a generare innumerevoli sessioni diverse. Questo potrebbe svuotare la riserva di entropia del generatore di numeri casuali del server, e costringere il server a ricorrere al generatore di numeri pseudo-casuali, meno sicuri dal punto di vista crittografico."
E hai fatto benissimo. L'https è una misura seria, non l'entropia del generatore di numeri casuali.Originariamente inviato da gianf_tarantino
Il fatto è ke alcuni servizi che vengono offerti trattano dati "DAVVERO" importanti per cui nessuna precauzione è mai troppa. Pensa che per le aree riservate ho usato l'https!
Ma non ti premeva la sicurezza prima di tutto?Originariamente inviato da gianf_tarantino
Il fatto è ke l'accesso di utenti previsto per il sito è davvero alto, nell'ordine delle migliaia. Per questo nn voglio appesantire troppo il DB che è già sovraccarico.
Rispondi quotando