Re: programmazione web "sicura"

At 18.22 02/05/2002 +0200, you wrote:

>Che fai offri sapendo che poi alla fine non la devi offrire?

La offro sulla parola, tanto c'e' gente che mi conosce.

>La prima soluzione forse non è chiara ma è "abbastanza" sicura... nel 
>senso che metti una chiave per decriptare la password... in modo tale che 
>un utente non sappia la pass di amministrazione ma sappia solo la sua e 
>con quella puo' fare solo le operazioni tramite PHP.

Dove la metti?
Cioe', qualsiasi istruzione
mysql_connect("localhost","pippo","shhhh!!!");
scritta in chiaro la becchi su altri script (a parte l'idea del safe_mode 
e/o delle dir che in effetti forse (la seconda) risolvono il problema)

NOTA: il racchiudere ogni utente in una singola dir (non tanto per l'FTP 
delle sue pagine quanto per l'esecuzione degli script stessi) in un 
ambiente condiviso ha un altro problema: io ho degli include globali 
(scambio banner) che risiedono ovviamente su dir che dovrebbero essere 
visibili a tutti. Metterli in include dirs descritte da qualche altra parte 
mi piace poco, magari e' una fisima, ma mi piace di piu' vedere il path 
completo negli include... quindi chiudere l'accesso ad altre dir potrebbe 
essere un problema.

>pero' ci si deve mettere un poco d'impegno... soprattutto se usi SSL, lo
>script lo metti in una directory non browsabile da Apache, etc etc

l'SSL e' insignificante per questo problema e lo script DEVE stare in una 
dir browsabile da apache...

>Un sistema non crackabile per me non esiste per definizione

Ovvio!

Ciao!

--8<-----------------------------------------------------------fnord-----
Piermaria Maraziti - piermaria@maraziti.it - http://piermaria.maraziti.it
ait anuas [Ex Arcano] - ainulindale: - Kallisti - ICQ744473 +3934735GILDA
http://gilda.it http://gamenet.it http://aleppe.it  http://hovistocose.it
Gran Siniscalco del  Leale Ordine della Cavalleria et Stregoneria Italica


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List