Richiesta consigli su protezione di file da accesso esterno (sicurezza privacy)

[Alhazred]

Grazie, non capisco perché è necessario DB?

Perché è molto più sicuro richiedendo delle credenziali per accedervi e non essendo generalmente raggiungibile dal di fuori del dominio a cui è associato, salvo consentirlo volutamente.

Ho pensato di dividere i file in modo da rendere più difficile l'accesso che invece in fase di lettura tramite algoritmo a me risulta semplificato.

Se uno riesce ad accedere ad un file, che difficoltà dovrebbe avere a fare la stessa cosa per accedere anche all'altro?

Per la codifica non posso creare un algoritmo personale che la cripti? E cripti anche username?

L'username non va criptato, perché l'algoritmo di criptaggio in questi casi NON deve essere reversibile e nella tua applicazione l'username potrebbe servirti ed essere utilizzabile in chiaro.
Partendo dal dato criptato NON deve essere possibile risalire a quello in chiaro.
In fase di login l'utente inserisce i dati in chiaro, poi lato server devi passare la password che arriva all'algoritmo di criptaggio e verificare la corrispondenza tra il risultato di questo e ciò che hai nel db.

"Inoltre cambiando le proprietà con codice 700 sono ancora accessibili da link"

Ho risolto con codice 600. E' corretto?

Dipende da come stai facendo le prove di accesso al file.
Ad esempio se lo fai da uno script che si trova sul server, con 600 hai comunque accesso in lettura.

[jabjoint]

1) Perché è molto più sicuro richiedendo delle credenziali per accedervi e non essendo generalmente raggiungibile dal di fuori del dominio a cui è associato, salvo consentirlo volutamente.


2) Se uno riesce ad accedere ad un file, che difficoltà dovrebbe avere a fare la stessa cosa per accedere anche all'altro?


3) L'username non va criptato, perché l'algoritmo di criptaggio in questi casi NON deve essere reversibile e nella tua applicazione l'username potrebbe servirti ed essere utilizzabile in chiaro.
Partendo dal dato criptato NON deve essere possibile risalire a quello in chiaro.
In fase di login l'utente inserisce i dati in chiaro, poi lato server devi passare la password che arriva all'algoritmo di criptaggio e verificare la corrispondenza tra il risultato di questo e ciò che hai nel db.


4) Dipende da come stai facendo le prove di accesso al file.
Ad esempio se lo fai da uno script che si trova sul server, con 600 hai comunque accesso in lettura.

Rispondo:

1)
OK: Bé allora potrei sempre creare un dominio di scorta, in cui accedo ai due file contenenti username e password senza db..., ed inoltre potrei richiedere una password per accedere ai file? (Tipo file .zip?)

2) Se riesce ad accedere alle username deve andare a prendere comunque l'altro(password) che non si trova nella stessa cartella o addirittura, in modo più sicuro in un altro dominio(come tu ben mi hai suggerito), inoltre se criptato ed il file richiede password d'accesso e l'ordine in riga è differente come riesce ad associarlo facilmente?

3) Ok, per l'username che magari richiederebbe un prolungamento temporale dell'accesso nel criptarlo/decriptarlo. Ma come può la password essere criptata irreversibilmente? Se cosi' fosse come riuscirei a rileggerla in fase di confronto con quella immessa dall'utente? Non capisco, spiegami...se puoi, grazie.

4) Eh si, ma se non consento l'accesso in lettura come riesco a confrontarle? L'unica è piazzare una password che modifica l'accesso in lettura quando occorre...?