imparare le basi della sicurezza web

[cane-nero]

Ciao a tutti! sto realizzando un sito abbastanza complesso in cui gli utenti possono registrarsi e inserire dei contenuti. Questo sito ha numerosi form, utilizza php, un database con molte tabelle e invia le email. Visto che di sicurezza web non so assolutamente nulla, mi sono limitato come unico accorgimento a mettere un captcha nel form di registrazione, quello offerto da google (che si chiama reCaptcha). Leggendo qualche articolo ho capito a cosa serve, ma oltre a quel tipo di accorgimento cosa si può fare? Non so neanche come funziona la sicurezza di un sito internet!! Dovrei anche mettere un limite temporale (esempio 60 secondi) per impostare un intervallo di inserimento fra i contenuti come sul forum di html.it? sarebbe utile per evitare i bot? e i virus?
Oltre a questo cosa può servire? Mi potreste linkare qualche articolo?


Altra domanda: come mai le email automatiche del mio sito vanno a finire nella posta indesiderata per via dei filtri smartscreen di hotmail?
Grazie!!

[homerbit]

il capitolo sicurezza web è un mondo infinito ed in continua espansione!
il captcha può servire a limitare i danni relativi agli spybot

in più potresti monitorare le registrazioni utenti cercando di certificare il loro account: tipo email inviata per conferma di registrazione.

ma secondo me,visto che dici che di sicurezza non sai nulla, è meglio prima concentrarsi sulle query!! e poi limitare lo spam...

quindi...hai adottato le metodologie più conosciute per tutelarti dalle sqlinjection? oppure non sai di cosa parlo ?

[cane-nero]

Originariamente inviato da homerbit
in più potresti monitorare le registrazioni utenti cercando di certificare il loro account: tipo email inviata per conferma di registrazione.

ma secondo me,visto che dici che di sicurezza non sai nulla, è meglio prima concentrarsi sulle query!! e poi limitare lo spam...

quindi...hai adottato le metodologie più conosciute per tutelarti dalle sqlinjection? oppure non sai di cosa parlo ?

Ciao homerbit, la convalida della mail l'avevo già predisposta mentre riguardo alla sqlinjection ho capito di cosa si tratta ma pur non avendo preso nessun accorgimento a riguardo non riesco a praticarla in fase di test...uso easyphp non so se c'entri qualcosa ma comunque pur immettendo caratteri strani le query funzionano normalmente. Ma quindi questi caratteri li converte già easyphp?

Altra cosa che mi era capitata con il sito precedente: un giorno collegandomi ad esso compariva un messaggio di google che sosteneva che si trattasse di un sito malevolo e che era stato rilevato un malware (o troian o semplicemente virus). Come possono succedere queste cose?

[homerbit]

Originariamente inviato da cane-nero
... mentre riguardo alla sqlinjection ho capito di cosa si tratta ma pur non avendo preso nessun accorgimento a riguardo non riesco a praticarla in fase di test...uso easyphp non so se c'entri qualcosa ma comunque pur immettendo caratteri strani le query funzionano normalmente. Ma quindi questi caratteri li converte già easyphp?

Spero tu non stia "producendo siti" per conto di terzi. Con la sicurezza non si scherza, si mettono a rischio tante cose, soprattutto i dati personali dei tuoi utenti!
Ti consiglio viviamente di cercare discussioni e guide che riguardano la sicurezza delle query in generale, ce ne sono tantissime, e magari se ne potrà discutere.

Easyphp fa il suo lavoro di wamp (o lamp) e basta, cioè ti pemette di poter far girare in localhost le tue pagine php + il db mysql. Non è responsabile della sicurezza e non mette "pezze" a qualche tuo controllo dimenticato (magari ha la magic-quote attivata..)

Originariamente inviato da cane-nero
Altra cosa che mi era capitata con il sito precedente: un giorno collegandomi ad esso compariva un messaggio di google che sosteneva che si trattasse di un sito malevolo e che era stato rilevato un malware (o troian o semplicemente virus). Come possono succedere queste cose?

Bhè questo ti permette già di capire quali rischi si corrono! Si può essere inconsapevolmente anche "portatori" di virus....ecco perchè s.google ti banna ed evita (o contiene) anche la diffusione del virus o trojan
Bisognerebbe capire quale sia stata la causa. Può succedere ad esempio che venga caricato del codice malevolo su delle sempli index.html o su pagine che fanno parte di un template (magari bucato) oppure peggio ancora il codice risiede in una table del db!!! Dovresti analizzare pagina per pagina, magari partendo proprio dalle index.html, oppure se monitori il sito con google allora troverai un messaggio che ti indica dove è stato trovato il malware (non sempre)

[cane-nero]

Tranquillo, il sito è per me stesso.
Inlotre volevo sapere una cosa riguardo al log-in con i cookie, se uso un cookie "user" e un cookie "password" in cui vengono inseriti username e relativa password, meglio criptarli vero?

[oly1982]

Originariamente inviato da cane-nero
Tranquillo, il sito è per me stesso.
Inlotre volevo sapere una cosa riguardo al log-in con i cookie, se uso un cookie "user" e un cookie "password" in cui vengono inseriti username e relativa password, meglio criptarli vero?

Stai andando a tentoni e per sentito dire.

E' meglio non salvare password nei cookie... ne in chiaro (che è pericolosissimo) nè criptate.

Questo problematica di sicurezza và sotto il nome di "cookie theft"/"stealing cookie" (in italiano "furto dei cookie")... problematica strettamente collegata ad un'altra detta "XXS".

Easy php non centra nulla con queste problematiche.

Ergo:

il capitolo sicurezza web è un mondo infinito

[homerbit]

sul cookie potresti salvare il codice identficativo di un utente (magari anche tokenizzato) per il resto quoto Oly1982

[oly1982]

Originariamente inviato da homerbit
sul cookie potresti salvare il codice identficativo di un utente (magari anche tokenizzato)

Se il sito ha falle per attacchi XSS risolvi poco e la loro prevenzione è la cosa fondamentale in questo campo.

Nel tuo caso tale token deve avere i seguenti requisiti:
- random
- cambi ad ogni login
- abbia una durata più o meno limitata fissata su database (non quella di scadenza del cookie)

La mia opinione è che l'impiego dei cookie in un sistema di login non sono mai il massimo in termini di sicurezza.

Ringrazio con DUE ANNI DI RITARDO l'utente k.b (ora moderatore ma a quei tempi semplice utente) per questa per le risposte fornitemi in questa discussione da me aperta:
http://forum.html.it/forum/showthrea...readid=1420672

[homerbit]

ottima discussione oly
ovviamente la mia era solo una indicazione sul minimo da applicare, poi il link da te postato dice tutto

[cane-nero]

Mi è venuta un'idea strana che riguarda la questione del log-in e dei cookie, ora ve la spiego:

Mettiamo che un utente voglia restare collegato al mio sito, l'unico modo per fare questo è usare i cookie ma lo svantaggio è che se l' hacker Alpha copiasse i cookie dell'utente Beta per quanto criptati essi siano, mister Alpha potrebbe loggarsi senza neanche doverli decriptare.

L'idea mia era sempre di usare i cookie ma in un modo completamente diverso, per spiegarvi cosa intendo partirò dalla primissima fase: il log-in. Quando l'utente Beta inserisce i suoi dati nel form per loggarsi viene aperta una "posizione di accesso", ossia viene creato in un database un lungo codice associato al nome utente ed al suo indirizzo IP.

Per esempio: user: "Beta", password: "porcascamorza" -> invio. Se i dati inseriti dall'utente sono corretti, nella tabella accessi che ha tre colonne: (user - ip - CodiceAccesso) viene inserita una riga di questo tipo:

user: "Beta"
ip: "254.947.47.4"
CodiceAccesso "Beta56492012348467498733457924927320947234643 "

A questo punto mando un cookie con solo il codice di accesso!!! Se l'hacker provasse ad accedere con lo stesso codice ma da un'altra postazione sarebbe fregato poichè cambierebbe l'IP e semplicemente non gli consentirei l'autenticazione. Secondo voi sarebbe più sicuro?