php e sicurezza

[express]

salve ragazzi volevo fare un paio di domando su come fare in modo che alcune mie pagine web siano "sicure" ovvero accessibili solo ad utenti registrati.

ora mi erano venute in mente varie soluzioni e ve le propongo (vi prego di commentarle a dovere evidenziando i vostri pro e i vostri contro).

METODO 1: faccio inserire login e passwd, ci applico un md5 (o un altro crypt 1-way) e memorizzo il risultato in un file qualsiasi (che so: pingo.pango). Quando poi mi viene richiesta una pagina privata, faccio inserire login e passwd, ci applico md5 e vedo se sono uguali: se lo sono è MOLTO probabile che login e passwd corrispondono e quindi faccio entrare (giusto?). Questo praticamente dovrebbe essere il metodo standard... (correggetemi se sbaglio).

METODO 2: faccio inserire login e passwd e li salvo (criptati con un qualche algoritmo che consente il decrypt o anche non decryptati) su un file php valido tipo passwd.php
che so io faccio un esempio: login: pippo; passwd: franco allora creo il seguente file:

<?
$login[] = "pippo";
$passwd[] = "franco";
echo "Brutto disgraziato di un hacker! credevi di fregarmi?!?\n";
?>

poi quando l'utente deve essere autenticato vado a controllare amenamente i due array creati. il vantaggio di questo secondo metodo sta nel fatto che gli utenti posso recuperare la passwd senza doverne creare una nuova.

METODO 3: applico il metodo 2 cryptando 1-way. Si perdono i vantaggi ma si dovrebbe avere maggior sicurezza ancora. correggetemi se sbaglio...

credo che il più sicuro e il più usato sia il metodo 1, come tu stesso hai detto, i dati li salverei però in un database più che in un file... e oltre a ciò aggiungerei delle sessioni o dei cookies per ulteriori controlli

[express]

sessioni? cookies? database? ti potresti spiegare meglio?

per quanto riguarda il database qual'è il vantaggio rispetto ad un "banale" file?

sessioni e cookies ho appena una vaga idea di cosa siano... dei cookies è MOLTO vaga

mi raccomando una certa enfasi nel come si usano

le sessioni e cookie sono quasi simili servono per memorizzare informazioni sugli utenti e devi creare un cookie o una sessione quando un utente si logga
tipo imposti un cookie di 1 ora l'utente sarà loggato x 1 ora poi deve rifare il login
x il db è + sicuro xke un file di testo si puo sempre leggere invece il db no

[express]

il db no? sarà cryptato... e allora basta sapere com'è cryptato e considerando che tutti db verranno cryptati alla stessa maniera (per lo meno quello che posso usare su av) non è molto più sicuro del non cryptato.
se invece è inacessibile perchè richiede accesso allo spazio web allora si può usare anche il trucchetto di usare php perchè (credo) i file con estensione .php sono accessibili solo passando per lo spazio web.
mi sbaglio?

nn è così che funzia, per accedere al database tu devi dare un nome e una passwrd che solo tu conosci solo dopo aver fatto questa autenticazione puoi fare le domande al database che ti restituiscono la passqord dell'utente.

Inoltre puoi sempre salvare le password nel db in modo criptato e dopo decriptarle

[express]

per leggere il db con una query ok... ma bisogna per forza passare per la query? io credo di no e non credo sia troppo difficile passare dal db cryptato (o meglio: compresso) al db trasparente e dunque (apparte la sovrabbondanza ci informazioni) equivalente al testo normale ... ma forse sono questioni un po' troppo tecniche

(qua mi ci vorrebbe cod o hercleum )

per leggere il db con una query ok... ma bisogna per forza passare per la query? io credo di no e non credo sia troppo difficile passare dal db cryptato (o meglio: compresso) al db trasparente e dunque (apparte la sovrabbondanza ci informazioni) equivalente al testo normale ... ma forse sono questioni un po' troppo tecniche

(qua mi ci vorrebbe cod o hercleum )

ti assicuro che i dati nel database sono più sicuri che su un file... questo è certo. Ovviamente nessuna cosa che può essere su uno spazio raggiunto da tutti non è MAI sicura al 100%...

le query vengono cryptate da tutti (o quasi) in md5... anche da script "evoluti" come phpBB, nuke etc... quindi puoi stare sicuro

[express]

ti assicuro che i dati nel database sono più sicuri che su un file

nn è che mi puoi anche spiegare il perchè?

xke se un qualsiasi file nn php puo essere liberamente visto da tutti e quindi nn ci vuole niente a vedere le pass anche se criptate invece il db lo puoi vedere solo tu

xke se un qualsiasi file nn php puo essere liberamente visto da tutti e quindi nn ci vuole niente a vedere le pass anche se criptate invece il db lo puoi vedere solo tu

esattamente!

Se io vado su www.tuosito.altervista.org/nomefile.quelcheè posso tranquillamente scaricare il file mentre per accedere al database devo avere nome utente e password

non vorrei contraddirti, però se provi a scaricare un file php tramite browser ti comparirà o un file vuoto oppure un file con una scritta del tipo Contenuto protetto.. vedere i sorgenti php di un altro sito senza sapere il login ftp, quindi non credo sia quello il punto...

ciao!!

[Ospite]

ti assicuro che i dati nel database sono più sicuri che su un file... questo è certo. Ovviamente nessuna cosa che può essere su uno spazio raggiunto da tutti non è MAI sicura al 100%...

le query vengono cryptate da tutti (o quasi) in md5... anche da script "evoluti" come phpBB, nuke etc... quindi puoi stare sicuro

guarda che secondo me ti sbagli, se vengono criptate con md5 come fai a recuperale in caso di perdita della password da parte dell'utente?

[binarysun]

DB o File è uguale, dipende da come sono messi gli script.
Banalmente con attacchi tipo sqlinjection puoi fregare le password dal DB, e con attacchi a script tipo "base=url" senza controlli puoi leggere i file PHP.
Nel caso di multiutenza però è sicuramente più comodo utilizzare la via del DB.

Per quanto riguarda la cifratura, ti conviene usare il sistema con md5, in questo modo è più sicuro per tutti, usare un algoritmo simmetrico non avrebbe senso.
Rigenerare una password non è un problema.

[Ospite]

DB o File è uguale, dipende da come sono messi gli script.
Banalmente con attacchi tipo sqlinjection puoi fregare le password dal DB, e con attacchi a script tipo "base=url" senza controlli puoi leggere i file PHP.
Nel caso di multiutenza però è sicuramente più comodo utilizzare la via del DB.

Per quanto riguarda la cifratura, ti conviene usare il sistema con md5, in questo modo è più sicuro per tutti, usare un algoritmo simmetrico non avrebbe senso.
Rigenerare una password non è un problema.

se cifri con md5 però a parte che sia + comodo o meno non fa molta differenza se le password sono nei file o nel database, però se cifri con md5 in tutti e 2 i casi la password la devi rigenerare daccapo, cioè non quella che ha fornito l'utente..almeno così ho capito io.
cmq se devi proteggere solo qualche pagina tipo amministrazione singola da parte di un utente di un guestbook o cose simili puoi usare anche i file php almeno io faccio così.

le sqlinjection....da un po' tanti ne parlano..ma non ho ancora capito cosa cavolo sono, cioè ho capito in teoria ma in pratica proprio no

[express]

mi sono un attimo perso...
1) cosa sa ne fa uno di un file zeppo di md5, pure che riesce a scaricarli, da qui a beccare account e pwd campa cavallo mio che l'erba cresce, o no?
2) ok un file php si può leggere anche senza avere gli estremi ftp di un determinato account, ma un db no? cioè boh non so cosa sia più difficile da accedere... ma di sicuro non è di immediato accesso in nessuno dei due casi. Sicuramente il db è più comodo, ma, apparte, questo, altri vantaggi?

cioè di attivare il db per salvare quattro pwd mi sembra un po' uno spreco di risorse a meno che nn sia VERAMENTE più sicuro

cmq l'idea di nn usare un crypt 1-way solo perchè lo metto sotto chiave nn sembra buona...

ok un file php si può leggere anche senza avere gli estremi ftp di un determinato account

come....?

mavericck

[Ospite]

allora...hai chiesto consiglio io te lo do: usa le sessioni e cripta con md5...con database o con i file....se qualcuno perde la password gliene dai una nuova...automaticamente..ovvio..
cmq sono consigli così...se devi proteggere qualche pagina delle foto della scuola non è lo stesso che proteggere delle carte di credito no?

[express]

come....?

chiedilo a binarysun :grin:

@farlimas io ti sono molto grato del consiglio e ne prenderò atto... però mi piace anche capire il perchè di quello che faccio... anche perchè se un domani dovessi fare qualcosa in modo più serio vorrei avere una buona base su cui partire. Poi magari quella che ho ora va già bene, ma più mi si spiega e più sono contento

[Ospite]

e ma ti abbiamo dato delle dritte...poi uno fa come crede...non c'è niente di sicuro nel web..sicure sono solo la morte e le tasse (la seconda non qui da noi)

[express]

su internet ho trovato che è fattibile solo se l'estensione del file è diversa da .php però boh, magari c'è qualche altra maniera furba di farlo...

(more on: http://www.astalavista.com/media/dir...ritythemes.txt )

[express]

qualcuno trovato niente su come fare a beccare il contenuto di un file con estensione php da http?

si tratta comunque sempre di lameraggio o hackeraggio, quindi nel caso ti trovassi un lamer coi tuoi file potresti segnalarlo.. poichè non sarebbe cosa pubblica..

express evita messaggi consecutivi, usa il tasto edita.


Ciao!

[binarysun]

qualcuno trovato niente su come fare a beccare il contenuto di un file con estensione php da http?

Bug negli script
Alcuni incauti programmatori utilizzano codice che legge direttamente le pagine PHP, o permettono di modificarle, se non sono controllate si possono sfruttare per leggere anche i file PHP all'interno dello spazio.
Logicamente devono essere vulnerabili, come per il problema del DB.

[express]

@debug pardon
@binarysun grazie per la spiegazione... se non sono indiscreto, posso avere maggiori dettagli?
per riuscire a non farsi fregare bisogna sapere come ti fregano
siccome in effetti parte del nascondere le passwd consiste appunto nell'editare un file con estensione php, mi chiedevo se potessi fare un esempio di codice "cattivo" e codice "buono" oppure sei hai buon link non ho paura di leggere

[binarysun]

Cerca code injections o command injections.
Logicamente nel caso di PHP non deve esserci inclusione ma lettura dei dati.

[express]

grazie mille per le dritte
guardate un po' che bel sitarello
http://www.sklar.com/page/article/owasp-top-ten

Allora, da quello che ho capito il sistema più sicuro (e semplice) consiste nell'usare il database per mettere le password e criptarle in md5... poi imposti i cookie dell'utente e ci metti dentro il nick e la password convertita in md5.. e se non sela ricorda bisogna fargliela rigenerare... e bisogna anche mandare via email l'url di controllo per evitare che i furboni generino una password nuova ad un altro utente..

non è alquanto complicato?? non basta mettere le password dentro il db così come sono? se la perde poi gliela spedisci.. come qui su AV

E' talmente insicuro il DB da non poter non usare la criptatura?

Non è quello il discorso, ma il fatto è che c'è sempre un modo per entrare dentro un db, vuoi per la password dello stesso che può essere scoperta, vuoi per via delle sql injection, ecc.
Poi nemmeno l'admin che ha accesso autorizzato al db non deve venire a conoscenza delle password altrui.
E qui ci viene in aiuto l'md5 (o altri tipi di hash, che è diverso dal criptare).


Ciaoooo!!!!