Protezione dati inviati via form

[ID-entity]

I dati passati via form possono essere facilmente corrotti se passati via get a meno che non si prendano precauzioni come questa illustrata da dicesare aka optime di questo forum: http://www.15seconds.com/issue/020701.htm


L'idea è buona e vorrei chiedere quante risorse brucia visto che utilizza variabili di sessione che possono raggiungere un numero elevato per invio di form grandi.


Inoltre uno degli accorgimenti atti ad evitare la manipolazione dei dati inviati è il controllo del REFEREE il quale mette a sedere gran parte delgi utenti ma non quelli in grado di simulare il REFEREE. Io ho provato a farlo con l'oggetto XML e ci sono riuscito facilmente.

Soluzioni?
Grazie

[optime]

1. quanti campi hai nel form?

2. il controllo del REFERER *non* e' da usarsi da solo, ma in abbinata con i vari sistemi di login, controllo di sql-injection ecc

[ID-entity]

Io intendo dire che riesco a simulare la provenienza del visitatore quindi il controllo del referee viene effettuato con successo anche se richiedo direttamente la pagina che produce le variabili di sessione.

[optime]

mi spiego.

se hai attivato il controllo di login e referer, puoi rilevare queste due situazioni:

1. il visitatore ha correttamente effettuato il login, e tenta di modificare il link, scrivendo l'indirizzo modificato nella barra di explorer. il controllo di login viene superato (supponiamo, If Session("logged")=True... era gia' loggato, quindi passa), ma non il controllo del referer, perche' e' blank

2. il visitatore non ha effettuato il login, ma simula il referer tramite spoofing. In questo caso passa il controllo del referer, ma non quello del login.

Puo' succedere che un visitatore riconosciuto dal sistema riesca a fare spoofing? Puo' darsi (io non sono capace), ma in questo caso devi fare un controllo di congruenza.

Un esempio. Il mio codice e' optime, e tramite una query string del tipo http://www.quacchesito.com/vedicredi...?codice=optime vedo i miei crediti. Ora, simulo l'ip e scrivo http://www.quacchesito.com/vedicredi...ice=Id-Entity: potrei vedere i tuoi crediti... ma se nel codice di vedicrediti.asp confronti l'id di login con l'id richiesto, riesci a bloccare l'intrusione...

Spero di essere stato chiaro e di aver capito il punto.

[ID-entity]

Si sei stato chiaro ma la tua soluzione presuppone il login. Io invece intendevo utilizzare il sistema in un normale form di invio dati da utenti anonimi.

Ciao

[optime]

puoi evitare il login, costringendo cmq il visitatore a seguire un certo percorso tra le pagine. in una di queste setti una variabile di sessione a true. quando poi devi elaborare il form, se questa variabile di sessione non e' True, vuol dire che la richiesta non e' regolare.

[ID-entity]

Si è una soluzione. Ho però optato per l'utilizzo della funzione md5