Fin qui la definizione e lo scopo delle sessioni, ma una domanda si pone obbligatoriamente: quanto sono sicure ed affidabili, così come sono congegnate ? La risposta, ovvia, è che sono "abbastanza" sicure (ammesso che la parola sicurezza, sul web e non solo, abbia un reale significato), non foss'altro per la fiducia che dobbiamo ai creatori del nostro amato linguaggio.
Questo mio convincimento, è radicalmente mutato dopo la lettura del libro Programmare in PHP e, segnatamente, del passo in cui si parlava di vari problemi legati alla sicurezza; la certezza di cui sopra, già incrinatasi, ha subito poi lo scossone definitivo quando ho letto tra gli autori del manuale il nome di Rasmus Lerdorf, colui che è unanimemente riconosciuto come l'inventore di PHP e che fa attivamente parte del gruppo ufficiale di sviluppo.
Fa notare, in breve, il buon Rasmus, che i file delle sessioni appartengono tutti allo stesso utente (l'utente di Apache, nobody di default) e vengono tutti salvati nella stessa directory, accessibile a tutti, in lettura e scrittura. Ciò comporta che tutti i files di sessione possono essere letti da tutti gli script php presenti su quel server, con possibili conseguenze poco piacevoli.
Naturalmente questa è la situazione che si viene a creare, di norma, su un server condiviso, se si è proprietari del server il problema non si pone minimamente, ma tanto basta ad allarmare e a consigliare estrema prudenza nell'uso delle sessioni di php4. Conclude Rasmus con la sibillina frase "il posto più sicuro in cui memorizzare dati è un database".
Rispondi quotando