Re: [ml] Le variabili SESSION di PHP sono sicure?

rino lo turco wrote:

> il php à un linguaggio interpretato . 

Grazie per la spiegazione dettagliata, ma ci sono alcuni, minuscoli
dettagli che forse non ti sono chiari...

> html, per cui non à possibile da parte del client conoscere ad esempio
> il nome delle variabili,

... peccato che questa sia security through obscurity, e come qualsiasi
persona anche solo vagamente informata su cosa sia la security sa che
non ci si puo' basare su questo...

> durante la comunicazione puoi conoscere (intercettare) alcune
> informazioni tra cui nomi di variabili ( se le usi nella riga url) o il
> valore delle variabli se le trasmetti via url.

"Via url" immagino sia un modo impreciso e sbagliato per dire "usando il
metodo GET".

Ad ogni modo, e' comunque sbagliato: anche se le trasmetti tramite POST
sono visibili lo stesso. Ometto la spiegazione di come fare per non
offendere l'intelligenza del lettore.

E ad ogni modo, la domanda originale riguardava proprio la possibilita'
di forzare le variabili in $_SESSION dall'esterno, quindi l'intera mail
e' una risposta, peraltro sbagliata, a una domanda che non aveva fatto
nessuno.

> Credo che in fondo non ci siano grandi problemi di sicurezza

Forse bisognerebbe rivedere i fondamentali prima di fare valutazioni di
sicurezza, neh ?

Poi per caso la risposta e' anche quella giusta, ma solo per puro caso.

-- 
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4017
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    http://home.dei.polimi.it/zanero/