dubbi sicurezza file

[JVM]

ciao, mi date un parere sulla sicurezza di alcuni file ?

Si tratta di pagine web di un gestionale a cui si accede solo tramite un form di autenticazione, che se compilato con le corrette credenziali fa visualizzare il contenuto delle pagine, secondo voi dopo aver impostato questa connessione sicura, e dei controlli sull' input utente ci sono altre misure da seguire, per una maggiore sicurezza ?

Tenete conto che si tratta di dati sensibili quindi non devono essere acceduti da utenti non autorizzati.

[RoTeam]

Anche se non sei molto esperto con una buona gestione delle sessioni puo andare bene

[JVM]

ciao , ok allora si lavorerà bene su quelle.

Il fatto di avere una connessione sicura, quindi in https://, dovrebbe limitare di molto i tentativi di hacking alle pagine, o sbaglio ?

[RoTeam]

Originariamente inviato da JVM
ciao , ok allora si lavorerà bene su quelle.

Il fatto di avere una connessione sicura, quindi in https://, dovrebbe limitare di molto i tentativi di hacking alle pagine, o sbaglio ?

Ovviamente è più sicuro dato che lo scambio di dati viene crittografato ma devi creare
un certificato digitale

[JVM]

ok ti ringrazio se incontro problemi torno a chiedere

[garakkio]

Originariamente inviato da JVM
ciao, mi date un parere sulla sicurezza di alcuni file ?

Si tratta di pagine web di un gestionale a cui si accede solo tramite un form di autenticazione, che se compilato con le corrette credenziali fa visualizzare il contenuto delle pagine, secondo voi dopo aver impostato questa connessione sicura, e dei controlli sull' input utente ci sono altre misure da seguire, per una maggiore sicurezza ?

Tenete conto che si tratta di dati sensibili quindi non devono essere acceduti da utenti non autorizzati.

le parole "filter input" ed "escape output" ti dicono qualcosa?
In caso negativo, ti mancano le basi della sicurezza.
Eventualmente, un capitolo di questo libro fa proprio al casto tuo.

[JVM]

ciao, si ti ringrazio, di questo libro ne avevo già sentito parlare bene, e sicuramente gli darò una letta.

Conoscono abbastanza le procedure di filtro dell' input utente e per fare l' escape dei caratteri dannosi, ma non essendo un geek in sicurezza informatica, ho cercato di pensare ad altre possibili falle nella sicurezza dei file, perchè credo che oltre all' sql injection e al session hijacking ci siano altri metodi per la manomissione dei file e pensavo di mettermi un pò più al riparo da questi tentativi utilizzando una connessione sicura, in modo che l' accesso ai file sarebbe stato limitato solo agli addetti ai lavori.

[oly1982]

Originariamente inviato da JVM
Conoscono abbastanza le procedure di filtro dell' input utente e per fare l' escape dei caratteri dannosi, ma non essendo un geek in sicurezza informatica, ho cercato di pensare ad altre possibili falle nella sicurezza dei file, perchè credo che oltre all' sql injection e al session hijacking ci siano altri metodi per la manomissione dei file e pensavo di mettermi un pò più al riparo da questi tentativi utilizzando una connessione sicura, in modo che l' accesso ai file sarebbe stato limitato solo agli addetti ai lavori.

Ci sono rimedi/accortezze specifiche per diverse problematiche.
La mia opinione, parlando di sicurezza, è capire in che modo "operano" queste falle.

Ad esempio, per capire le sql injection occorre capire in che modo esse operano: dati dinamici (tipicamente gli input dai form, ma nn solo) che alterano la sintassi della/e query in modo non previsto dallo sviluppatore.

Venendo al certificato ssl esso stabilisce una connessione sicura server-client che protegge contro lo sniffing (mi pare si scriva così) dei dati.

Parlare di sicurezza in ambito web in maniera così generalizzata non ha senso: occorre fare un'analisi che, a partire da una potenziale minaccia si cercano di individuare la migliore soluzione o, in molti casi, un compromesso.

Ad esempio, tu parli di "sicurezza dei file"? Cosa significa?
Per assurdo, specificatamente con tale minaccia (nei vari modi in cui pò essere intesa), le sql injection e lo sniffing centrano poco o nulla, almeno in linea teorica.
Mi soffermerei, invece, su un improprio utilizzo della funzione readfile() (o similari) laddove essa è utilizzata.
Oppure, qualora vi siano file di configurazione (.ini, lista di define, etc etc) io preferisco collocarli al di fuori della document root oppure, laddove non possibile tale soluzione, mettere un lock al/ai file con .htaccess.

Si potrebbe continuare. Ma il principio deve essere chiaro: spiega praticamente quale è il tuo timore, ovvero la minaccia da cui vuoi proteggerti e solo a quel punto ti si potrà dire quali possono essere le cose a cui badare... altrimenti si parla di tutto e di nulla!

[wetell542]

Originariamente inviato da JVM
ciao, mi date un parere sulla sicurezza di alcuni file ?

Si tratta di pagine web di un gestionale a cui si accede solo tramite un form di autenticazione, che se compilato con le corrette credenziali fa visualizzare il contenuto delle pagine, secondo voi dopo aver impostato questa connessione sicura, e dei controlli sull' input utente ci sono altre misure da seguire, per una maggiore sicurezza ?

Tenete conto che si tratta di dati sensibili quindi non devono essere acceduti da utenti non autorizzati.