sicurezza nelle sessioni, user_agent e che altro?

**DrugsMatt** · 29-04-2011, 17:05

Buona sera a tutti,

E' da un po' che lavoro a un sito php, ho implementato una gestione delle sessioni e mi chiedevo quali metodi ci fossero per garantire la sicurezza nella "continuità" della sessione utente.

So di $_SERVER['HTTP_USER_AGENT'], molto utile, o 'REMOTE_ADDR' per l'indirizzo ip, ma sinceramente con tutti gli ip dinamici e cavilli di rete che ci sono non mi sento di aggiungerlo..

Qualcuno di voi ha qualche idea? Preferirei stare su una validazione lato server.. Poichè i controlli javascript e quindi anche ajax possono essere aggirati aimè...

Grazie in anticipo.

**alcio74** · 29-04-2011, 18:20

AJAX e Sicurezza di un sito non sono mai nella stessa frase, a mio modesto parere.
Questo perché tutti i controlli lato client possono essere tranquillamente aggirati da utenti mediamente smaliziati, ma anche da utenti che hanno disabilitato il javascript nel loro browser!

Detto questo, più che lo user agent, si dovrebbe usare il referrer, applicare i token e fare attenzione agli input passati dagli utenti.
Nella sezione GUIDE di questo sito c'è una guida molto interessante: GUIDA ALLA SICUREZZA IN PHP.
Ci sono molti esempi utili ed è di facile comprensione.

**DrugsMatt** · 30-04-2011, 12:36

grazie per il suggerimento, i token li stavo prorio guardando di recente, comunque sia si javascript in questo contesto può essere un supplemento, mi curerò di eseguire controlli sia lato client e sopprattutto server, di nuovo grazie!

**oly1982** · 30-04-2011, 13:21

Originariamente inviato da DrugsMatt
javascript in questo contesto può essere un supplemento

esattissimo... questa espressione la conivido appieno.

tutte le tecnologie lato client non centrano (quasi) nulla sulla sicurezzza.

Io le uso al fine di migliorare la user experience... ma se sono disattivate mando a quel paese la user experience e bado al sodo.

Faccio un esempio classico:
Vi è un form per eseguire una insert.

Validazione lato client eventualmente con ajax... così evito che si svuotino i campi.

Ma prima di fare la insert cmq eseguo i controlli lato server... e se non corretti niente insert e form con campi vuoti (così impari a disattivare js!!).

**alcio74** · 30-04-2011, 23:01

Originariamente inviato da oly1982
Io le uso al fine di migliorare la user experience... ma se sono disattivate mando a quel paese la user experience e bado al sodo.

Ahahahahaha: più che altro sarebbe da mandare a quel paese chi le disattiva!!!!

Discussione: sicurezza nelle sessioni, user_agent e che altro?

Strumenti discussione

Ricerca discussione

Visualizza

sicurezza nelle sessioni, user_agent e che altro?

Permessi di invio