[Javascript]Sicurezza passaggio variabili

Salve gente..
Da poco ho iniziato a studiare come funziona JQuery e Ajax e in un mio progetto li sto utilizzando per creare qualche effetto e, per varie ragioni, ho fatto un passaggio di variabili estratte da un form e inviate ad un file.php.

Mi chiedevo se fosse sicuro, ma sospetto () che sia molto facile far passare cose "strane".
Io comunque nel file.php eseguo tutti i controlli "necessari" per evitare "errori".

E' sicuro fare un passaggio di variabili in questo modo?
Casomai in che modo posso renderlo più sicuro?

Thanks..

[alemoppo]

È la stessa identica sicurezza dei dati inviati via form. Quindi sicurezza = 0.

Ciao!

In che modo potrei aumentare il livello di sicurezza?
Sapresti linkarmi qualche guida o consigli?

Thanks..

[alemoppo]

Mi hai fatto tornare in mente questo... Quando stavo imparando proprio queste cose.

La risposta penso sia che dipende da cosa devi inviare. Come vedi non c'é un modo "sicuro".

Ciao!

Ho letto il topic è non ho proprio capito alla perfezione il punto
Comunque mettiamo debba inviare dei dati personali e quindi devo creare un qualcosa di "sicuro", come posso fare?

Thanks..

[alemoppo]

Beh, alla fine avevo il problema di inviare i "secondi" senza poterli far modificare dagli utenti. Non ci son riuscito.

Se devi inviare dei dati personali, è quindi come un form, ergo non hai nessuna preoccupazione: l'unica è che i pacchetti vengono intercettati, letti e magari modificati. Questo puoi risolverlo solo (penso) con ssl (ma d'altronde, è la stessa cosa per i form).

Ciao!

Quindi oltre usare un protocollo https non posso fare niente per migliorare la sicurezza?

[karl94]

Dipende, Che tipo di dati sono?
Se adotti soluzioni che fanno uso delle crittografia asimmetrica (come il protocollo HTTPS), i dati che transitano saranno protetti contro attacchi del tipo man in the middle.
Che tipo di sicurezza hanno bisogno questi dati? Non ti bastano i controlli lato server?

Diciamo che potrebbero bastarmi, i dati sono dati come: e-mail, data di nascita,..

Ma se io memorizzo questi dati e poi li invio ad una pagina in php tramite Ajax, facendo poi dei controlli nella pagina in php anche se l'utente invia cose "strane" potrei comunque controllarle, giusto?

Facciamo un esempio banale:
L'utente inserisce del codice html all'interno del form, io invio le variabili alla pagina in php. Se in questa pagina scrivo per esempio:

Codice PHP:

$variabile = htmlspecialchars($_POST['$variabile_ajax']);


Funziona comunque o potrei avere problemi?

Il mio dubbio è che l'utente possa bypassare o manipolare il codice.

[karl94]

Beh, fintanto che il tuo codice non presenta falle (e così il tuo server, il sistema operativo e via discorrendo) un utente malintenzionato non può far nulla (e comunque nella maggior parte dei casi il metodo del tubo di gomma è più semplice e veloce di un attacco informatico).
I controlli lato server vanno sempre fatti, mai fidarsi dei dati provenienti dall'esterno! Ad ogni modo, ricorda che devi andare ad usare la funzione htmlspecialchars solamente quando devi presentare su di un documento HTML dei dati facendo in modo che i caratteri speciali quali minore o le virgolette (o altri ancora) non vengano interpretati come tali ma visualizzati proprio sul documento come testo. Se poi quei dati ti servono solamente per essere registrati su un database, allora è inutile effettuare una trasformazione di questo tipo. Al più potrebbe essere utile in termini di prestazioni se in seguito quel dato verrà poi prelevato dal database e poi presentato in un documento: effettui la trasformazione del dato una volta (all'inserimento) anziché più volte (all'ottenimento del dato).

Infine, il protocollo HTTPS non rende magicamente i dati sicuri, l'unico suo scopo è quello di permettere un trasferimento sicuro dei dati, cioè non manomittibile dall'esterno. I dati inviati però possono sempre violare qualsiasi controllo lato client, è sufficiente costruire la richiesta HTTP necessaria ed inoltrarla al server attraverso il tunnel SSL o TLS che sia.

Grazie mille per i chiarimenti