Re: Autenticazione in PHP

Fausto Pasqualetti writes:

> sul javascript... si puo' essere saltato... ma rende la cosa piu'
> difficile...
> se lo vincoli alla submit... (cioé al bottone)

no, neanche un po', soprattutto visto che ci sono gia' tool precotti "proxy" 
like che intercettano i vari get/post/etc e ti permettono di modificarli al 
volo come piu' ti aggrada tutto, in gui e senza neanche la necessita' di 
cambiare client. 

Piu' in generale, tutte le forme di autenticazione o validazione lato 
client, sono assolutamente inefficaci come misura di sicurezza se l'utente 
ha il controllo del client (non stiamo parlando di una cosa tipo un atm o 
una postazione appositamente studiata per restringere le possibilita' 
dell'utente.. e anche in questo caso _e' comunque molto piu' intelligente_ 
che i controlli siano fatti "di la'" da chi processa la cosa (e che potrebbe 
avere problemi a processarla)). 

Nello specifico, se il problema e' non fidarsi dei controlli di PHP e della 
possibilita' vi validare l'input prima che faccia danni in PHP, le soluzioni 
sono: non usare php, auditare php, monitorare php e il sistema oppure 
reverse-proxarlo/contenfiltrarlo/qualchealtroneologismoacasarlo (o piu' cose 
di queste insieme) 

bye
Koba (moderatore) 

--  

Igor Falcomata'
IT Security Manager & Consultant
Infosec srl - http://www.infosec.it
Network Security and Data Defense
 --
free advertising: www.sikurezza.org - Italian Security Mailing List 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List