rino lo turco wrote: > il php è un linguaggio interpretato .
Grazie per la spiegazione dettagliata, ma ci sono alcuni, minuscoli dettagli che forse non ti sono chiari... > html, per cui non è possibile da parte del client conoscere ad esempio > il nome delle variabili, ... peccato che questa sia security through obscurity, e come qualsiasi persona anche solo vagamente informata su cosa sia la security sa che non ci si puo' basare su questo... > durante la comunicazione puoi conoscere (intercettare) alcune > informazioni tra cui nomi di variabili ( se le usi nella riga url) o il > valore delle variabli se le trasmetti via url. "Via url" immagino sia un modo impreciso e sbagliato per dire "usando il metodo GET". Ad ogni modo, e' comunque sbagliato: anche se le trasmetti tramite POST sono visibili lo stesso. Ometto la spiegazione di come fare per non offendere l'intelligenza del lettore. E ad ogni modo, la domanda originale riguardava proprio la possibilita' di forzare le variabili in $_SESSION dall'esterno, quindi l'intera mail e' una risposta, peraltro sbagliata, a una domanda che non aveva fatto nessuno. > Credo che in fondo non ci siano grandi problemi di sicurezza Forse bisognerebbe rivedere i fondamentali prima di fare valutazioni di sicurezza, neh ? Poi per caso la risposta e' anche quella giusta, ma solo per puro caso. -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
