Caio,
domanda di un principiante .. :-)
come bisogna fare per creare pagine 'https' ?
Grazie
Caio,
domanda di un principiante .. :-)
come bisogna fare per creare pagine 'https' ?
Grazie
spiega meglio quello che vuoi perché "pagine https" non esistono
Per HTTPS (SSL) si intente il protocollo HTTP con crittografia asimettrica, quindi non ha nulla a che vedere con le pagine di un sito.
Per utilizzare il protocollo HTTPS devi configurare il Web Server sul quale è ospitato il sito ed acquistare un certificato SSL.
Massimo Missaglia
--------------------------------
http://www.massimomissaglia.com
bè .. configurare il web server sicuramente non è di mia competenza .. :-)
quindi si tratterebbe solo di acquistare la licenza per l'uso del protocollo ?
volevo criptare la pagina di login per entrare nel mio gestionale (a cui devo accedere solo io)
Grazie
criptare la pagina non c'entra nulla con la connessione https
https sta (in breve) per "connessione sicura" ovvero la trasmissine dati tra server e client è crittografata e non leggibile da terzi curiosi
criptare la pagina è un'operazione inutile per la sicurezza,
serve solo per non vedere il codice sorgente se non si ha la chiave per decriptare
(operazione nemmeno tanto difficile da aggirare...)
mi son spiegato male ..
volevo evitare la 'cattura' della password nella comunicazione client/server.
Non ho ancora capito come devo fare, in concreto, per usare questo protocollo per la pagina 'x'
Grazie
Se sei in hosting non devi fare granchè. devi chiedere al tuo servizio di hosting di impostare sul tuo spazio un certificao ssl. Ne esistono di diversi tipi e (ovviamente) con costi diversi. Il costo consiste in una quota annuale che puo variare dai circa 100 ai 500+ euro.
Non tutti i piani di hosting supportano l'installazione di un certificato ssl percui dovresti informarti presso il tuo provider se hai questa possibilità. Per i server invece non ci sono problemi.
L'utilizzo dipende dal linguaggio/tecnologia/serverweb che usi ma grosso modo si tratta di catturare tutte le richieste inoltrate alle pagine che intendi proteggere e redirezionarle all'indrizzo omonimo https.
Attento: se non usi tecnologie server side ma solo html dovresti comunque fare questo lavoro lato server (in linux non so, credo modificando .HTACCESS, in iis aggiungendo delle regole nel we.config, ecc.) MA non fare la "fesseria" di limitarti a modificare semplicemente i link alle pagine altrimenti queste comunque sarebbero raggiungibili da http
credo di averti detto piu o meno quello che c'è da sapere.
P.S.
non parlare di hosting qui, i problemi con loro li risolvi con loro
Tutto chiaro ! :-)
visto che ci siamo .. e visto che abbiamo parlato di 'criptare' .. :-)
quindi non serve a niente criptare le pagine php, per evitare che possa essere letta la password del DB ?
immagino non ci sia alternativa nello scrivere in chiaro la password per effettuare la connessione ..
Grazie mille
la sicurezza è fatta di diverse cose. Le pagine php le cripti per evitare che nel caso un hacker acceda direttamente al tuo spazio web possa scaricare le pagine e cercare di scovare qualche bug (o rubartelo se hai scritto il software del secolo). Durante l'invio della password però è la pagina html sul client che fa la richiesta http post, php non è ancora entrato in gioco ne tantomeno il db. La richiesta http con i dati post è in chiaro e poichè puo essere intercettata si preferisce proteggere la trasmissione dei dati sensibili utilizzando il protocollo ssl (https).
Per quanto riguarda il db, come per le pagine php, la sicurezza risiede tutta lato server. Bisogna innanzitutto proteggere il db con password, nel caso sia un db su file conservarlo in una cartella non accessibile da remoto ma sopratutto mai conservare le password in chiaro nel db. I servizi di hosting e i CMS fanno questo lavoro gia in automatico ma se sei in un server e/o usi una logica di login implementata da te devi studiarti un po' di queste cose (hash delle password, ecc.).
grazie dei consigli ..
però io non stò parlando di 2 cose distinte:
1) la password che utilizzo per il login (dove servirebbe evitare che venga intercettata, come dici tu tramite il protocollo https) e che è criptata attraverso (sha1)
2) la password del db, che è scritta in chiaro nella pagina php, per effettuare il collegamento ..
per il punto 1 abbiamo capito che serve l'https, anche se vorrei capire, se sia così semplice intercettare la password .. in sostanza se ne valga la candela spendere anche una cifra importante ..Codice PHP:$db_host = "127.0.0.1";
$db_user = "root";
$db_password = "password_01";
$db_name = "nomeDB";
per il punto 2, è evidente che se uno arriva aleggere il codice php, si trova la password del DB ..
e se è vero che il criptaggio delle pèagine php è facilmente sormontabile .. mi domando qaule sia la soluzione
Permessi di invio
Rispondi quotando