Sicurezza delle sessioni di PHP

[miki92]

Salve,
girovagando nel web casualmente mi sono inceppato su un articolo dove si parlava dei problemi di sicurezza delle sessioni, cosi ho lasciato perdere ciò che stavo facendo ed mi sono messo ad approfondire il problema delle sessioni.


Ho capito che molti utenti che hanno i cookie disabilitati e per questo la sessione non parte ma per risolvere basta inviare la giusta querystring (pagina.php?PHPSESSID=dati_sessione), però ho anche letto che sia la querystring che il cookie contenente il codice sessione potrebbero essere intercettati e superati, quindi ora mi sono messo a cercare (anche nel forum) se potrebbero scoprire il codice che viene memorizzato in $_SESSION['nome_sessione_captcha_in_md5'] ma purtroppo non ho trovato nulla (o quasi, ho trovato questo http://forum.it.altervista.org/php-m...sioni-php.html ma non mi è stato molto d'aiuto) quindi ora voglio porvi la domanda:

Se io memorizzo in una sessione (che ha il nome sessione in md5) e (per tagliare la testa al toro) la invio a pagina.php?PHPSESSID=<!--SID--> può essere rintracciata e superata.

Poche info che magari ti chiarisono un po' le idee.

Le sessioni sono salvate sul server, non sul client.

I cookie al contrario, sono salvati sul client e non sul server.

I due sono indipendeti fra loro ma possono essere usati insieme.

I cookie possono essere creati/modificati dall'utente per cercare di farsi identificare come un'altra persona, ma questo non vuol dire che ci riesca (ad esempio, se io mi modifico il cookie contenente la password di questo forum, non accederò come un altro utente, per merito dei controlli sull'accoppiata user-password, sull'hash della password e del salt, ecc).

Per intercettare le info che scorrono tra client e server c'è bisogno di una qualche sorta di sniffing (o troyan o keylogger o altro).


Ciao!

[miki92]

Quindi posso stare sicuro...nessuno (BOT) può intercettare il codice captcha del mio sito giusto?

Per il captcha non mi preoccuperei dello sniffing, quanto dei bot dotati di OCR...


ciao!

[miki92]

Ah...questa mi giunge nuovo...qui non c'è modo di bloccarli (intendo anche con il controllo dei campi vuoto tramite PHP)?

Bha, è una vita che se ne discute e ci sono fior fiori di esperti appartenenti a scuole di pensiero diverse.
Ci sono altri sistemi oltre al captcha, oltre ai captcha più particolari (ad esempio in un sito si chiedeva di scrivere le lettere in cui erano raffigurati anche dei gatti o dei cani), tipo inserire un campo input nascosto via css e far controllare al php se quel campo è stato riempito (i bot riempiono tutti i campi perchè non supportano gli stili, l'umano che non lo vede no) oppure far scrivere delle parole o frasi che sono il risultato di una domanda posta nel form, tipo "quanto fa 2+2?" oppure "scrivi la parola umano".


Ciaoooooo!!!!!

[miki92]

Beh io non sono un esperto ma sto qui anche per imparare...comunque un campo input con attributo hidden va bene?

Ma infatti non ti ho fatto nessuna critica! :D
Era più un tono da "vecchietto generalista".

Sì, va bene, ma meglio se l'attributo lo metti in una classe css e al campo gli assegni quella classe.


Ciao!

[miki92]

Ok, grazie di tutto debug, utile come sempre