Visualizzazione risultati 1 fino 4 di 4

Discussione: sicurezza server to server

  1. #1
    musicdate non è connesso Utente giovane
    Data registrazione
    06-01-2012
    Messaggi
    87

    Question sicurezza server to server

    salve, ho una domanda riguardante la sicurezza nel passaggio parametri fra 2 server differenti.
    se io faccio una richiesta dal server A al server B con la funzione $_post e includo in questa richiesta una mia password (ad esempio definisco mysecret="12345" in un file php "nascosto" e metto ...secret=mysecret nella stringa del $_post) c'è modo di venire a sapere la stringa mysecret? (tramite controllo file di log, contenuto pacchetti inviati, etc etc). la risposta a questa domanda mi è utile per difendermi da eventuali tentativi di hacking

    grazie

  2. #2
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,067

    Predefinito

    Come invii i dati tra server con $_POST? Che io sappia, si può fare (solo) con la fsokopen().

    Se passi da form, è tra client-server e non server to server....

    Comunque, passando alla tua richiesta, per proteggere dovresti inviare dati criptati. Potresti ad esempio usare il protocollo https.
    Infatti, usando un programma che intercetta i pacchetti della tua rete (ad esempio della lan se sei in una lan), chiunque potrebbe leggere i dati. Se invece i dati sono criptati, rendi le cose più difficili :-)

    Ciao!
    Ultima modifica di alemoppo : 07-04-2012 alle ore 15.28.59

  3. #3
    L'avatar di javascripter
    javascripter non è connesso Moderatore
    Data registrazione
    14-02-2010
    Messaggi
    1,114

    Predefinito

    Citazione Originalmente inviato da alemoppo Visualizza messaggio
    Come invii i dati tra server con $_POST? Che io sappia, si può fare (solo) con la fsokopen().
    Anche con le cURL si possono inviare dati via post.

    @musicdate:
    Temo che in qualche modo, tramite tools di sniffing, sia possibile che il codice possa essere recuperato da qualche malintenzionato.
    Segui il consiglio di alemoppo, cripta la stringa (utilizzando un salt personalizzato), per essere sicuro.

  4. #4
    musicdate non è connesso Utente giovane
    Data registrazione
    06-01-2012
    Messaggi
    87

    Smile

    grazie ad entrambi. il server A da cui i dati vengono inviati è un server https mentre il B non lo è: questo vuol dire che, se ho capito bene, devo:
    1) criptare i dati in fase di invio
    2) decriptare in fase di ricezione

    conoscete qualche funzione preconfezionata ed affidabile, oltre che personalizzabile, per criptare i dati? (oltre che gratuita)
    inoltre: poichè io so che soltanto le richieste del server A devono essere servite, non posso in qualche modo impostare una whitelist in cui specifico come affidabili solo le stringhe $_post provenienti da quel server e nello specifico da una singola applicazione, senza l'uso di nessuna password o criptaggio? cioè, esiste un indirizzo specifico del server A a cui fare riferimento e che quindi, immagino, invii dati già criptati, relativi ad indirizzo, socket, etc etc e che altervista sia in grado di decriptare automaticamente?

    ari-grazie
    Ultima modifica di musicdate : 08-04-2012 alle ore 18.04.16

Tags for this Thread

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •