Re: programmazione web "sicura"

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2002 ml@sikurezza.org
Soggetto: Re: programmazione web "sicura"
Mittente: Piermaria Maraziti
Data: 30 Apr 2002 11:01:45 -0000

At 18.35 29/04/2002 +0200, you wrote:

>"La   via   più   semplice   sembrerebbe   quella  di  cablare  le
>login/password  all'interno  del  codice,  ma non mi sembra molto
>sicuro........"
>metti login e password cryptati sul server o su un file o su un db.
>Utilizzi un meccanismo di autenticazione (qualcosa tipo ldap,openldap, mysql
>o un qualsiasi  db o altro meccanismo di autenticazione) per autenticare chi
>deve svolgere quelle operazioni, poi con la passwd con cui si autentica la
>usi per fare l'encryption e il decryption della pass che deve utilizzare
>(magari con openssl) in questo modo è tutto cryptato.

Ma se l'accesso alle pagine PHP e' pubblico?

>Altra soluzione sarebbe quella di utilizzare invece di uno script un
>programma compilato che chiami tramite uno shell_exec o una system da php in
>questo modo la pass non si trova facilmente pero' ti consiglio anche in
>questo caso di utilizzare un meccanismo per criptare la password.
>uhm credo di essere stato un poco contorto...
>fammi sapere se è chiaro.

Non mi pare sicuro.
Se altri utenti possono mettere script PHP (ad esempio) sulla stessa 
macchina possono andarsi a leggere (con i permessi di nobody o dell'utente 
sotto cui gira httpd) anche gli altri script e trovare quel programma ed 
eseguirlo.
Se l'accesso alla macchina e' condiviso (nel senso di utenti che gestiscono 
ognuno una sua applicazione PHP) non c'e' verso, e' intrinsecamente insicuro.
[offro una birra doppio malto a chi mi dimostra un modo per fare il contrario]

Ciao!

PS: si', si', dovrei presentarmi lo so :-)

--8<-----------------------------------------------------------fnord-----
Piermaria Maraziti - piermaria@maraziti.it - http://piermaria.maraziti.it
ait anuas [Ex Arcano] - ainulindale: - Kallisti - ICQ744473 +3934735GILDA
http://gilda.it http://gamenet.it http://aleppe.it  http://hovistocose.it
Gran Siniscalco del  Leale Ordine della Cavalleria et Stregoneria Italica


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- programmazione web "sicura", Mamo
- Re: programmazione web "sicura", Fausto Pasqualetti

Data:
- precedente: Re: programmazione web "sicura", Fausto Pasqualetti
- successivo: Help: Windows NT, servizi e porte aperte, M
- indice

Argomento:
- precedente: Re: programmazione web "sicura", Fausto Pasqualetti
- successivo: FW-1 NG: e' cambiato qualcosa?, Mimmus
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005