Le variabili della sessione no, perché restano sempre sul server. L'unica cosa che viene mandata verso il cliente è l'id della sessione. Quella poi si può anche "rubare" per fare il "session hijacking" (un terzo tiene controllo della sessione).Originariamente inviato da aquatimer2000
1) le varibili di sessione, restano attive nel browser dell'utente fino a che il browser è aperto o fino a che la sessione non viene cancellata giusto ? è possibile che queste variabili vengano lette o modificate da altri utenti; ci sono dei metodi più sicuri ?
In questo punto uno può "migliorare" la sicurezza salvando anche l'indirizzo IP e/o browser ID dell'utente. Mentre l'IP sarà più o meno sicuro ci possa creare dei problemi con utenti dietro un proxy, quello è meno problematico col browser ID, ma quello può anche essere falsificato.
Fino a quando non usi un tipo di digest (come HTTP digest authentication) ci va sempre la password in chiaro sopra il cavo - qui dovresti usare HTTPS per criptarla.Originariamente inviato da aquatimer2000
2) sia user che password vengono passate alla pagina di verifica_login attraverso una form con method="post". è un metodo sicuro o ci sono alternative migliori?
Rispondi quotando