| |
|
| |
 |
Programming |
 |
|
|
| |
 |
Networking |
|
|
|
| |
 |
Design
Style |
|
|
| |
 *
you are here |
| |
the largest repository of Open Source code and applications
available on the Internet. SourceForge.net provides free services
to Open Source developers.
|
|
| |
freshmeat maintains the Web's largest index of Unix and cross-platform
software, themes and related "eye-candy", and Palm
OS software. Thousands of applications, which are preferably
released under an open source license, are meticulously cataloged
in the freshmeat database.
|
|
| |
The CERT® is a center of Internet security expertise,
located at the Software Engineering Institute, a federally
funded research and development center.
|
|
| |
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system |
|
|
|
|
![]() |
print
document |
![]() |
download
PDF |
|
| Flash
& Php – Rendere sicure le autenticazioni. |
|
| Parte
V |
| Validazione
del login - Lato Server |
Siamo
arrivati alla parte che ritengo più interessante. Una
volta ricevute le variabili user e password lo script php
sul server le deve analizzare e deve rispondere in base all’esito
del confronto.
Se non avessimo particolari esigenze di sicurezza, potremmo
risolvere in modo molto semplice e immediato, confronteremmo
il valore ricevuto con il valore archiviato e ottenuta la
corrispondenza esatta avremmo riconosciuto l’utente.
In realtà lo scopo di questo documento è proprio
rendere il più sicura possibile la nostra transazione
e quindi adotteremo un sistema leggermente diverso, altrettanto
immediato, ma meno semplice.
Nel campo informatico la sicurezza assoluta è un’utopia,
ma questo non vuol dire che non si possano usare misure preventive
ed avvicinarci passo dopo passo all’irraggiungibile
100%.
Un sistema che adotto ogni qualvolta devo sviluppare una procedura
di login con password da archiviare sul server è quello
della preventiva codifica di tali valori. Qualsiasi metodo
si adotti per archiviare le password, database, semplice file
di testo o addirittura un array (come nel nostro esempio)
le parole chiavi risiederanno su un file sul server, e questo
vuol dire che un attacker che riesce ad ottenere il file in
questione, avrebbe libero accesso alle informazioni degli
altri utenti. Per quanto possa sembrarci lontana l’ipotesi
che il nostro file venga carpito al server, dobbiamo comunque
premunirci, spesso basta davvero poco per consentire l’accesso
ad un sistema, si pensi ad esempio, a quante volte vi sarà
capitato di rinominare un file per tenerne una copia temporanea,
un file.php diventerebbe un file.bak o .php~ e questo eviterebbe
la sua interpretazione da parte del web server che lo consegnerebbe
al richiedente cosi com’è, ed ecco che un malizioso
visitatore in seguito ad una maliziosa richiesta, si ritroverebbe
in possesso del file contenente la password d’accesso
al database o altre informazioni riservate, o ancora basterebbe
una cattiva configurazione del nuovo webserver fresco di aggiornamento,
o il cambio temporaneo dei permessi su una directory o un
file e poi mai rimessi a posto.. e potrei andare avanti con
gli esempi ancora per molto, e questo per far capire quanto
è importante non dare mai nulla per scontato anche
in un sistema apparentemente sicuro.
Se utilizzerete il metodo che leggerete proseguendo, l’hacker
o il visitatore malizioso, si ritroverebbero tra le mani delle
password inutili.. poiché criptate e quindi illeggibili.
Prima di proseguire credo sia necessario spendere poche parole
per meglio comprendere i meccanismi di cifratura con l’analisi
superficiale di alcuni dei più diffusi algoritmi, qualora
non reputaste l’argomento interessante potete passare
direttamente al prossimo capitolo. |
| |
|
| |
| |
![]() |
print
document |
![]() |
download
PDF |
|
