Re: Autenticazione in PHP

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Marzo 2002 ml@sikurezza.org
Soggetto: Re: Autenticazione in PHP
Mittente: Fausto Pasqualetti
Data: 6 Mar 2002 12:30:58 -0000

Koba ha scritto:
> Nello specifico, se il problema e' non fidarsi dei controlli di PHP e
della
> possibilita' vi validare l'input prima che faccia danni in PHP, le
soluzioni
> sono: non usare php, auditare php, monitorare php e il sistema oppure
> reverse-proxarlo/contenfiltrarlo/qualchealtroneologismoacasarlo (o piu'
cose
> di queste insieme)
>
> bye
> Koba (moderatore)


Allora,
           si su questo hai ragione è che io pensavo a quello che stavo
realizzando... che è un poco diverso visto che i clients a cui è destinato
hanno dei vincoli...
Mi piacerebbe che questa discussione portasse a discutere ancora di tale
argomento visto che ritengo importante salvaguardare i form e le pagine
dinamiche.

Allora scusate il mio pessimo disegno in ASCII ma spero di chiarire il
processo:


_____________________                ___________________
______________________
|                                         |               |
|   SI          |                                           |
|              FORM                | -------->|    PRE-PROCESSING
| --------> |          PROCESSING         | ------------> OUTPUT
|   (Acquisizione dati input)  |               |   (Validazione input)
|                |     (Elaborazione dati input)  |
|___________________ _|               |___________________|
|______________________|
                        ^                                                  |
                 NO  |_________________________|



Per FORM intendo la classica FORM html (magari generata anche dinamicamente)
con qualsiasi metodo (GET,POST,PUT...).
Il problema secondo me è in quale modo gestire, monitorare e soprattutto
forzare il flusso sopra indicato.
La fase piu' delicata è quella di Pre-processing che non DEVE (o meglio
dovrebbe :P) essere bypassabile in alcun modo, in questo modo la fase di
processing in teoria diviene piu' "sicura".
Il processing puo' essere fatto da qualsiasi tipo di linguaggio script web
oriented (php,asp,cold fusion, perl/cgi, bin/cgi etc etc).
La domanda è questa... quale puo' essere un modo di pre-processing non
eludibile senza dovere operare auditing o monitoraggio tramite server?
Ad esempio se il preprocessing avviene nello stesso linguaggio del
processing penso che non si possano ovviare a problemi di vulnerabilità o di
bugs sfruttati da un attacker.
Spero che questo argomento interessi molti.


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Autenticazione in PHP, Claudio
- Re: Autenticazione in PHP, Fausto Pasqualetti
- Re: Autenticazione in PHP, Igor Falcomata'
- Re: Autenticazione in PHP, Fausto Pasqualetti
- Re: Autenticazione in PHP, Igor Falcomata'

Data:
- precedente: R: GSM SIM, Caris Ruben
- successivo: [OT] Re: GSM SIM, Zen
- indice

Argomento:
- precedente: Re: Autenticazione in PHP, Igor Falcomata'
- successivo: Re: Autenticazione in PHP, deneb
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005