Visualizzazione dei risultati da 1 a 3 su 3
  1. #1

    consiglio sistema di login

    Ciao a tutti,

    ho un applicativo in php che al momento viene utilizzato in una LAN.
    Sto cercando man mano di riscrivere tutto con Laravel ma al momento, è scritto con un "mio" MVC (php7.3)

    Di conseguenza la sicurezza di login e registrazione sicuramente saranno meno efficienti di altri sistemi più conosciuti.

    Però, finchè è rimasto tutto lato LAN, non è che mi sono posto il problema più di tanto.

    Ora, se dovessi esporre questo applicativo su internet, quale strada mi consigliate?

    Di sicuro dico cose da , ma al momento le attenzioni che ho avuto nell sistema che gestisce il login sono:

    - lo username che formalmente deve essere una mail;
    - la password che non deve essere più corta di 8 caratteri, e contenere almeno, i maiuscola, minuscola, numero e carattere speciale;
    - token di sessione e verifica di provenienza del POST;
    - verifica della forma dei dati in POST, se la supero, verifico l'esistenza dell'account in base alla mail passata, e in caso positivo, verifica corrispondenza password (criptata);
    - tutte le query sono in PDO con bind dei dati passati;

    - per la parte online (sito con protezione ssl attivata), posso aggiungere alla form di login il recaptcha3 di google;

    pensate possa bastare, oppure mi conviene utilizzare altri sistemi di login ecc. tipo ...

    fare il login tramite wordpress (sarà sicuramente più sicuro del mio sistema) ad esempio, ed una volta autorizzato, reindirizzo l'utente sull'area del mio applicativo, con i dati di login passati da wordpress?!

    Che mi consigliate?!
    Grazie a tutti per le informazioni e consigli!
    Ultima modifica di aquatimer2000; 18-03-2020 a 23:01
    aquatimer2000

  2. #2
    Utente di HTML.it
    Registrato dal
    Sep 2016
    Messaggi
    758
    Onestamente mi sembra che tu abbia preso in considerazione la maggior parte delle criticità, poi ovviamente dipende anche da come sono state implementate.

    Per esempio:

    per l'hash della password che algoritmo usi
    filtri proprio tutti i dati in input
    usi il type hinting

    Poi essendo online io penserei anche ad un sistema di rate limiting sul server web, per evitare bruteforce (e script automatici rompiballe) sul login ed eventualmente anche su altre pagine sensibili se ci sono. Ma questo esula dal php vero e proprio.

  3. #3
    Quote Originariamente inviata da M4V1 Visualizza il messaggio
    Onestamente mi sembra che tu abbia preso in considerazione la maggior parte delle criticità, poi ovviamente dipende anche da come sono state implementate.
    ovvio .. spero di averlo fatto al meglio, ma sicuramente c'è chi può farlo meglio di me, ne sono coscente!

    Quote Originariamente inviata da M4V1 Visualizza il messaggio
    per l'hash della password che algoritmo usi
    filtri proprio tutti i dati in input
    usi il type hinting
    - hash delle password con: password_hash($pwd, PASSWORD_DEFAULT);
    - uso il type hinting;
    - controllo i dati passati, sia prima lato client, che poi lato server (prima di proseguire con le varie funzioni);

    per sicurezza posso ricontrollare, ma è un modo di fare che cerco sempre di adottare.

    Quote Originariamente inviata da M4V1 Visualizza il messaggio
    rate limiting sul server web..
    premesso che dovrei informarmi in merito, ma posso farlo anche su un classico hosting linux di aruba?! mmh...

    Intanto grazie per i consigli!
    aquatimer2000

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2020 vBulletin Solutions, Inc. All rights reserved.