[sicurezza] fino a che punto sono sicure le sessioni?

[Mackey]

Ciao a tutti,
vorrei sapere a titolo informativo, se le sessioni sono completamente sicure, oppure è possibile (in qualche modo illegale) modificare date variabili, o id di sessione o altro...

Insomma... quanto mi ci posso affidare?

[piero.mac]

Premesso che totalmente, completamente per gli esseri umani sono cose relative, le sessioni sono uno strumento.

Se lo utilizzi al meglio le sessioni sono pressoche' inespugnabili, se lo utilizzi malamente potrebbero essere insufficenti. Ma insufficenti per cosa? Se devi utilizzare le sessioni per gestire valori sei fuori strada sul mezzo. Se devi verificare uno user invece sono piu' che sufficienti.

Una delle cose errate che fa un user sprovveduto e' per esempio registrare nel file di sessione la password in chiaro. Se si e' polli si fa coccode'. questo e' scontato.

Molto piu' importante e' come gestire questi dati con lo script, piu' che del posto in cui le memorizzi. Anche se memorizzare i dati in un db potrebbe dare un senso maggiore di sicurezza. Ma chiudi le porte e magari si puo' accede dalle finestre....

In altre parole la sicurezza dipende principalmente da come e' configurato un server e dal suo mantenimento allineato con gli aggiornamenti.

[mircov]

ha ragione perchè se un utente dovesse avere acesso a server (magari anche avendo un proprio sito sul tuo stesso server cndiviso) potrebbe visualizzare i valore dele variabili. Cmq in generale dciamo che "il posto più sicuro per memorizzare valori è il db" (non son parole mie ma di uno degli autori di php).

[Gianni_T]

un altro problema delle sessioni è il furto del session id a cui si può ovviare attraverso SSL

[Mackey]

[supersaibal]Originariamente inviato da Gianni_T
un altro problema delle sessioni è il furto del session id a cui si può ovviare attraverso SSL [/supersaibal]

ecco... appunto... come si fa?

io memorizzo nella sessione
username
password (MD5 criptata)

è sicuro?

[nik600]

ciao

io credo che un approccio corretto sia memorizzare in sessione l'id dell'utente

poi se ti serve con opportune query estrai dal db l'username,la pwd o quello che vuoi utilizzando l'id memorizzato in sessione.

per capirci l'id è la chiave primaria e univoca (io solitamente utilizzo un int(11) auto_increment) della tabella delgli utenti

[Mackey]

[supersaibal]Originariamente inviato da nik600
ciao

io credo che un approccio corretto sia memorizzare in sessione l'id dell'utente

poi se ti serve con opportune query estrai dal db l'username,la pwd o quello che vuoi utilizzando l'id memorizzato in sessione.

per capirci l'id è la chiave primaria e univoca (io solitamente utilizzo un int(11) auto_increment) della tabella delgli utenti

[/supersaibal]

secondo me non è tanto sicuro...
infatti uno che sa modificare la sessione mette l'id dell'amministratore e, senza conoscere la password, ha accesso al sito.
lo stesso discorso vale per i cookie... infatti utilizzo lo stesso metodo per memorizzare il login... e in effetti, forse è meglio memorizzare username e password... con i COOKIE a maggior ragione!

[eraclito]

non l'id, ma un codice alfanumerico molto lungo, in modo che "casulamente" azzeccare il codice di un altro utente sia assolutamente imporbabile, attraverso questo si accede al db..

[nik600]

quindi si potrebbe far passare l'id in un md5()...cmq la mia nota (scusate se non lo ho specificato ) presuppone che le sessioni non vengano "bucate"

[Mackey]

se codifichi l'id con md5 come la fai la query dopo?

e comunque per azzeccare l'id non è che sia tanto casuale... l'amministratore ha solitamente id = 1 o li vicino!