Visualizzazione risultati 1 fino 11 di 11

Discussione: [Javascript]Sicurezza passaggio variabili

  1. #1
    Guest

    Question [Javascript]Sicurezza passaggio variabili

    Salve gente..
    Da poco ho iniziato a studiare come funziona JQuery e Ajax e in un mio progetto li sto utilizzando per creare qualche effetto e, per varie ragioni, ho fatto un passaggio di variabili estratte da un form e inviate ad un file.php.

    Mi chiedevo se fosse sicuro, ma sospetto () che sia molto facile far passare cose "strane".
    Io comunque nel file.php eseguo tutti i controlli "necessari" per evitare "errori".

    E' sicuro fare un passaggio di variabili in questo modo?
    Casomai in che modo posso renderlo più sicuro?

    Thanks..

  2. #2
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,761

    Predefinito

    È la stessa identica sicurezza dei dati inviati via form. Quindi sicurezza = 0.

    Ciao!

  3. #3
    Guest

    Predefinito


    In che modo potrei aumentare il livello di sicurezza?
    Sapresti linkarmi qualche guida o consigli?

    Thanks..

  4. #4
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,761

    Predefinito

    Mi hai fatto tornare in mente questo... Quando stavo imparando proprio queste cose.

    La risposta penso sia che dipende da cosa devi inviare. Come vedi non c'é un modo "sicuro".

    Ciao!

  5. #5
    Guest

    Predefinito

    Ho letto il topic è non ho proprio capito alla perfezione il punto
    Comunque mettiamo debba inviare dei dati personali e quindi devo creare un qualcosa di "sicuro", come posso fare?

    Thanks..

  6. #6
    L'avatar di alemoppo
    alemoppo non è connesso Staff AV
    Data registrazione
    24-08-2008
    Residenza
    PU / BO
    Messaggi
    22,761

    Predefinito

    Beh, alla fine avevo il problema di inviare i "secondi" senza poterli far modificare dagli utenti. Non ci son riuscito.

    Se devi inviare dei dati personali, è quindi come un form, ergo non hai nessuna preoccupazione: l'unica è che i pacchetti vengono intercettati, letti e magari modificati. Questo puoi risolverlo solo (penso) con ssl (ma d'altronde, è la stessa cosa per i form).

    Ciao!

  7. #7
    Guest

    Predefinito

    Quindi oltre usare un protocollo https non posso fare niente per migliorare la sicurezza?

  8. #8
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,745

    Predefinito

    Dipende, Che tipo di dati sono?
    Se adotti soluzioni che fanno uso delle crittografia asimmetrica (come il protocollo HTTPS), i dati che transitano saranno protetti contro attacchi del tipo man in the middle.
    Che tipo di sicurezza hanno bisogno questi dati? Non ti bastano i controlli lato server?

  9. #9
    Guest

    Predefinito

    Diciamo che potrebbero bastarmi, i dati sono dati come: e-mail, data di nascita,..

    Ma se io memorizzo questi dati e poi li invio ad una pagina in php tramite Ajax, facendo poi dei controlli nella pagina in php anche se l'utente invia cose "strane" potrei comunque controllarle, giusto?

    Facciamo un esempio banale:
    L'utente inserisce del codice html all'interno del form, io invio le variabili alla pagina in php. Se in questa pagina scrivo per esempio:
    Codice PHP:
    $variabile = htmlspecialchars($_POST['$variabile_ajax']);
    Funziona comunque o potrei avere problemi?

    Il mio dubbio è che l'utente possa bypassare o manipolare il codice.

  10. #10
    karl94 non è connesso Staff AV
    Data registrazione
    03-10-2005
    Messaggi
    17,745

    Predefinito

    Beh, fintanto che il tuo codice non presenta falle (e così il tuo server, il sistema operativo e via discorrendo) un utente malintenzionato non può far nulla (e comunque nella maggior parte dei casi il metodo del tubo di gomma è più semplice e veloce di un attacco informatico).
    I controlli lato server vanno sempre fatti, mai fidarsi dei dati provenienti dall'esterno! Ad ogni modo, ricorda che devi andare ad usare la funzione htmlspecialchars solamente quando devi presentare su di un documento HTML dei dati facendo in modo che i caratteri speciali quali minore o le virgolette (o altri ancora) non vengano interpretati come tali ma visualizzati proprio sul documento come testo. Se poi quei dati ti servono solamente per essere registrati su un database, allora è inutile effettuare una trasformazione di questo tipo. Al più potrebbe essere utile in termini di prestazioni se in seguito quel dato verrà poi prelevato dal database e poi presentato in un documento: effettui la trasformazione del dato una volta (all'inserimento) anziché più volte (all'ottenimento del dato).

    Infine, il protocollo HTTPS non rende magicamente i dati sicuri, l'unico suo scopo è quello di permettere un trasferimento sicuro dei dati, cioè non manomittibile dall'esterno. I dati inviati però possono sempre violare qualsiasi controllo lato client, è sufficiente costruire la richiesta HTTP necessaria ed inoltrarla al server attraverso il tunnel SSL o TLS che sia.
    Ultima modifica di karl94 : 06-09-2013 alle ore 17.22.21

  11. #11
    Guest

    Predefinito

    Grazie mille per i chiarimenti

Regole di scrittura

  • Non puoi creare nuove discussioni
  • Non puoi rispondere ai messaggi
  • Non puoi inserire allegati.
  • Non puoi modificare i tuoi messaggi
  •