.dsy:it. - [PHP] Autenticazione HTTP

Calendar

Members

Faq

Logout

.dsy:it. : Powered by vBulletin version 2.3.1

.dsy:it. > Community > Tech > [PHP] Autenticazione HTTP

Last Thread Next Thread

Author

Thread Expand all | Contract all

Napolux

-29 Kg da Settembre 2005

User info:

Registered: Jun 2002
Posts: 3666 (0.45 al dì)
Location: Giussano (MI)
Corso: F28
Anno: ???
Time Online: 21 Days, 19:29:36 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

[PHP] Autenticazione HTTP

Ma e' sicura?
X il mio Bloggino ho pensato di usare questa, dato che quella precendente non mantiene i dati (bisogna inserire ogni volta user & pass)

Sono abbastanza sicuro con questo metodo, relativamente alle finalità
del mio utilizzo (non è un'applicazione critica)?

Le password nei file non sono in chiaro, ma criptate con md5, il
confronto x l'accesso è quindi fatto cosi' ad esempio.

if (md5($_server['PHP_AUTH_USER']) == '85353fac343a34b4e4') allora dai
accesso.

__________________
Napolux.com

02-12-2004 07:41

Click here to Send Napolux a Private Message

unidavide

.arcimaestro.

User info:

Registered: Nov 2002
Posts: 373 (0.05 al dì)
Location:
Corso:
Anno:
Time Online: 11 Days, 19:48:07: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Re: [PHP] Autenticazione HTTP

Originally posted by Napolux
Ma e' sicura?
X il mio Bloggino ho pensato di usare questa, dato che quella precendente non mantiene i dati (bisogna inserire ogni volta user & pass)

basta che usi le sessioni

Sono abbastanza sicuro con questo metodo, relativamente alle finalità
del mio utilizzo (non è un'applicazione critica)?

e' sicura quanto un login normale, le password in rete passano cmq in chiaro, con http viene solo codificata in base 64, con http pero' rischi un po' di piu' perche' le password viaggiano ad ogni richiesta che viene fatta cioe' ogni pagina che viene richiesta quindi se uno sniffa ha piu momenti in cui poter vedere la password

Le password nei file non sono in chiaro, ma criptate con md5, il
confronto x l'accesso è quindi fatto cosi' ad esempio.

if (md5($_server['PHP_AUTH_USER']) == '85353fac343a34b4e4') allora dai
accesso.

non capisco a che scopo le metti cifrate, se uno ha accesso alle pagine ha anche accesso al db visto che quelle password saranno in chiaro oppure ai file se non usi il db

02-12-2004 11:23

Click here to Send unidavide a Private Message

Napolux

-29 Kg da Settembre 2005

User info:

Registered: Jun 2002
Posts: 3666 (0.45 al dì)
Location: Giussano (MI)
Corso: F28
Anno: ???
Time Online: 21 Days, 19:29:36 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Re: Re: [PHP] Autenticazione HTTP

Originally posted by unidavide

e' sicura quanto un login normale, le password in rete passano cmq in chiaro, con http viene solo codificata in base 64, con http pero' rischi un po' di piu' perche' le password viaggiano ad ogni richiesta che viene fatta cioe' ogni pagina che viene richiesta quindi se uno sniffa ha piu momenti in cui poter vedere la password

Ok, fin qui ci sono.
Non mi interessa tanto il fatto che qualcuno rubi le password sniffando, uno sarebbe malato a voler rubare le password di un blog e comunque non tiro in mezzo di certo SSL o roba varia per un semplice blog.

Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.

HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?

Sicurezza non l'ho ancora passato

__________________
Napolux.com

02-12-2004 11:35

fabpicca

jesus robot d'acciaio

User info:

Registered: May 2002
Posts: 2166 (0.26 al dì)
Location: Pieve Emanuele
Corso: Ticom
Anno: 1°
Time Online: 12 Days, 23:12:28 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by Napolux
Ok, fin qui ci sono.
Non mi interessa tanto il fatto che qualcuno rubi le password sniffando, uno sarebbe malato a voler rubare le password di un blog e comunque non tiro in mezzo di certo SSL o roba varia per un semplice blog.

Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.

HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?

Sicurezza non l'ho ancora passato

dalle sql injection e inserzioni di tag ti proteggi solo filtrando i form (o ogni momento di input) lato server (strip_tags() et similia) o lato client (js) o entrambi.

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)

02-12-2004 11:51

Click here to Send fabpicca a Private Message

Napolux

-29 Kg da Settembre 2005

User info:

Registered: Jun 2002
Posts: 3666 (0.45 al dì)
Location: Giussano (MI)
Corso: F28
Anno: ???
Time Online: 21 Days, 19:29:36 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Re: Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by fabpicca
dalle sql injection e inserzioni di tag ti proteggi solo filtrando i form (o ogni momento di input) lato server (strip_tags() et similia) o lato client (js) o entrambi.

Quello già fatto

__________________
Napolux.com

02-12-2004 12:01

unidavide

.arcimaestro.

User info:

Registered: Nov 2002
Posts: 373 (0.05 al dì)
Location:
Corso:
Anno:
Time Online: 11 Days, 19:48:07: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by Napolux
Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.

HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?

su questo aspetto le cose sono esattamente identiche sia che usi http che no, te ne devi preoccupare cmq tu

02-12-2004 12:57

unidavide

.arcimaestro.

User info:

Registered: Nov 2002
Posts: 373 (0.05 al dì)
Location:
Corso:
Anno:
Time Online: 11 Days, 19:48:07: [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Re: Re: Re: Re: [PHP] Autenticazione HTTP

Originally posted by fabpicca
o lato client (js)

NON "o", lato client non e' sicuro niente, se fai un controllo lato client consideralo solo per non caricare troppo il server ma queste cose le DEVI controllare per forza lato server

02-12-2004 13:01

yeah

.grande:maestro.

User info:

Registered: Nov 2003
Posts: 1644 (0.21 al dì)
Location: Cologno Monzese
Corso: Informatica Magistrale
Anno: II
Time Online: 12 Days, 21:36:41 [...]
Status: Offline

Post actions:

Edit | Report | IP: Logged

Per autenticarmi ad una pagina riservata nel mio sito (nel caso per visualizzare alcune statistiche) ho adottato due accorgimenti:
1) La pagina non è accessibile da link nel sito (la devo usare io quindi io conosco il nome, questo è possibile perchè il mio provider non permette l'esplorazione delle cartelle)
2) per l'autenticazione uso un semplice form con campo password in cui in caso di inserimento errato viene visualizzata una pagina bianca

La password (non uso database) l'ho messa in un file di testo del tipo