.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [PHP] Autenticazione HTTP (http://www.dsy.it/forum/showthread.php?threadid=15686)

[PHP] Autenticazione HTTP

Ma e' sicura?
X il mio Bloggino ho pensato di usare questa, dato che quella precendente non mantiene i dati (bisogna inserire ogni volta user & pass)

Sono abbastanza sicuro con questo metodo, relativamente alle finalità
del mio utilizzo (non è un'applicazione critica)?

Le password nei file non sono in chiaro, ma criptate con md5, il
confronto x l'accesso è quindi fatto cosi' ad esempio.

if (md5($_server['PHP_AUTH_USER']) == '85353fac343a34b4e4') allora dai
accesso.

__________________
Napolux.com

Re: [PHP] Autenticazione HTTP

Originally posted by Napolux
Ma e' sicura?
X il mio Bloggino ho pensato di usare questa, dato che quella precendente non mantiene i dati (bisogna inserire ogni volta user & pass)

Sono abbastanza sicuro con questo metodo, relativamente alle finalità
del mio utilizzo (non è un'applicazione critica)?

Le password nei file non sono in chiaro, ma criptate con md5, il
confronto x l'accesso è quindi fatto cosi' ad esempio.

if (md5($_server['PHP_AUTH_USER']) == '85353fac343a34b4e4') allora dai
accesso.

Re: Re: [PHP] Autenticazione HTTP

Originally posted by unidavide

e' sicura quanto un login normale, le password in rete passano cmq in chiaro, con http viene solo codificata in base 64, con http pero' rischi un po' di piu' perche' le password viaggiano ad ogni richiesta che viene fatta cioe' ogni pagina che viene richiesta quindi se uno sniffa ha piu momenti in cui poter vedere la password

__________________
Napolux.com

Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by Napolux
Ok, fin qui ci sono.
Non mi interessa tanto il fatto che qualcuno rubi le password sniffando, uno sarebbe malato a voler rubare le password di un blog e comunque non tiro in mezzo di certo SSL o roba varia per un semplice blog.

Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.

HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?

Sicurezza non l'ho ancora passato

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)

Re: Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by fabpicca
dalle sql injection e inserzioni di tag ti proteggi solo filtrando i form (o ogni momento di input) lato server (strip_tags() et similia) o lato client (js) o entrambi.

__________________
Napolux.com

Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by Napolux
Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.

HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?

Re: Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by fabpicca
o lato client (js)

__________________
?