Sicurezza variabili di sessione per aree protette

[martic]

ciao,
le variabili di sessione possono essere modificate lato client agendo sui cookie ? (visto che esse utilizzano i cookie stessi) ?

oppure solo il server puo' modificare e crearle?

Me lo chiedo perche spesso si usa session("username") per identificare l'utente nelle aree protette, e ovviamente occorre esser sicuri che l'utente session("pippo") non possa modificare la propria variabile in session("pluto")

ciaooo

[viki1967]

http://www.morpheusweb.it/html/manua...sp_session.asp

[martic]

Originariamente inviato da viki1967
http://www.morpheusweb.it/html/manua...sp_session.asp

ciao e grazie, pero' in quella guida non c'e' risposta a cio' che chiedevo, ossia se le variabile di sessione possono eventualmente essere modificate lato client da un utente "malintenzionato" ???

grazie di nuovo

[viki1967]

Queste variabili lavorano completamente sul Server-Side (lato server) e si appoggiano ai cookies, quindi il problema non è la variabile di sessione ma la vulnerabilità dei cookies.

La tecnica che basa gli attacchi alle applicazioni web servendosi dei cookie è conosciuta con i nomi di cookie tampering, cookie poisoning o più comunemente Cookie Manipulation.

Per evitare che si possa mettere in atto questa tipologia di attacco occorre che lo sviluppatore, adotti un algoritmo di crittografia e di decrittografia lato server per evitare che le informazioni presenti sui cookie possano essere manipolate. Crittografando infatti i valori delle variabili e magari offuscando i loro nomi e possibile ottenere un grado di sicurezza più elevato, in quanto è più difficoltosa la modifica, verificare sempre la correttezza formale dei risultati delle elaborazioni rispetto a quelli attesi. Occorre Non utilizzare id autoincrementanti per accedere alle informazioni e comunque all’uso dei cookie è preferibile l’uso di cookieless session variables (variabili di sessione lato server che non fanno uso dei cookie).

Spero ti sia più chiaro.