Ciao a tutti,
sto in questo momento leggendo una guida sulla sicurezza qui su Html. Imbattendomi nel seguente periodo mi è sorto questo interrogativo:
A questo punto la domanda: come faccio a sapere se il server è accessibile da remoto?La sicurezza dei file di sessione diviene a questo punto un problema sistemistico: è necessario configurare il server in modo che nessuno possa accedere da remoto a tali file e che nessuna applicazione "estranea" possa aprirli in lettura e/o scrittura.
beh, dipende dal contesto a cui ti stai riferendo...
Nell'istante stesso in cui visiti un sito web, scarichi la posta etc... accedi da remoto ad un server, ovvero accedi ad informazioni presenti su quel server.
Ovviamente solo una parte delle informazioni in esso presenti devono essere accessibili ad un specifico utente.
Un utente deve essere in grado di accedere unicamente alla sua casella di posta, non a quella degli altri. Un normale visitatore di un sito non deve essere in grado di accedere all'area di amministrazione né ai file di sistema che risiedono al di fuori dell'area di influenza del webserver.
Se specifichi meglio il contesto possiamo approfondire...
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Mmmmh allora vediamo un pò...
...dato un sito internet appoggiato su un hosting. Dato che il proprietario del sito internet in questione avrà ricevuto dall'azienda le proprie credenziali di accesso per gestire il proprio sito (email, password, bla..).
In questo caso, non so se è ovvio ma credo di si, solo io posso accedere ai file interni del mio spazio web. Giusto?
se tutto funziona a dovere sì.... ovvero questa è la situazione ideale desiderata.
Se tutto fosse così semplice non esisterebbe la sicurezza informatica... la violazione di migliaia di siti ogni giorno ti fa capire che il sistema non è perfetto e che possono esistere delle falle che permettano l'accesso non autorizzato a file privati.
Le responsabilità possono essere le più svariate a seconda della falla....
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Bene. Quindi (di base e almeno immediatamente dopo l'immissione in rete del sito), esso dovrebbe essere accessibile SOLO dal proprietario.
Ora ritorno un passo indietro sulla mia domanda: cosa si intende "accedere da remoto" ?
Perchè i pareri sono molteplici e non c'è una spiegazione chiara. Potresti elencarmi le spiegazioni?
Nal senso più generico del termine, accedere da remoto significa avere qualche tipo di accesso ad un sistema distante... senza usare terminale, tastiera e altri dispositivi di I/O direttamente collegati alla macchina.
La portata di un tale tipo di accesso dipende dal contesto... a seconda che si tratti di accesso ai dati o accesso da amministratore di sistema, che l'accesso sia consentito o meno etc... a seconda del contesto il suo significato può assumere connotazioni leggermente diverse.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Ti ringrazio per la spiegazione. Quindi ad esempio accedo al mio spazio...accedo "da remoto", giusto?
esatto...
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
La frase intendeva, nel suo contesto, far capire come i dati "delicati" contenuti sul server per autenticare gli utenti (ovvero i file di sessione) non devono in alcun modo essere esposti all'Internet (questo è chiaro) ma nemmeno ad altre applicazioni che girino sullo stesso server.
Ad esempio, se i permessi della cartella in cui risiedono i detti file sono "blandi", un'altra applicazione sullo stesso server può visualizzarli. E se tale applicazione risulta per qualche motivo "comandabile a distanza" (es. uno script PHP bacato), allora ecco che l'amministratore del server è riuscito nell'ardua impresa di... esporre i dati all'Internet.
:: Instant WebKiosk, a browser-only Linux operating system ::
A questo punto è d'obbligo una domanda: come evitare che un altro script Php possa visualizzare i dati? Cioè...che codice devo scrivere per evitare tutto ciò?
Faccio questa domanda perchè non sono un esperto di Php, lo pratico da quasi un anno...ma conosco per ora solo le funzioni che finora sono servite per i miei scopi. Quelle essenziali per la realizzazione del sito in questione.
Grazie a tutti.
Permessi di invio
Rispondi quotando