Amedeo Viscido scrisse: > > Quando in uno script php richiamo la session_start(), vengono inviate > informazioni al client? Ad esempio, viene impostato qualcosa nei cookie? O > le informazioni di sessione vengono mantenute solo sul lato server? Perché > in questo caso il client non saprebbe nulla sulla sessione, di conseguenza > non potrebbe conoscere il nome della variabile per tentare di fare qualcosa > (per inciso, conoscendo il nome della variabile, potrebbe fare qualcosa?).
no, il client della sessione non sa nulla se non l'id (che cmq è già qualcosa), il vero problema di sicurezza lo hai perchè potenzialmente le sessioni sono leggibili dal webserver (del resto è lui che le scrive...), molto spesso infatti si fanno dei giri assurdi e poi si lascia la possibilità a chi è un po' smaliziato di far scorazzare il webserver dentro la dir delle sessioni, e i file di sessione sono assolutamente comprensibili, ad esempio un contenuto potrebbe essere: kreq|s:32:"7579166bc4ae8bd5526bf11dc7c7c49b";reload|b:0;login|s:7:"nomeutente";pwd|s:40:"2f67b13c4608d9f279159cdf2e97a7b852d103ac"; ti dice nome della variabile, tipo, lunghezza e contenuto. > Visto che non conoscere la password non permette di accedere alla pagina > nascosta, poiché se non è presente la variabile di sessione viene > presentato un errore 404. in un ambito in cui il sistema di login è sicuro trovo un po' inutile il tuo sistema. perchè non fai semplicemente un cron che genera una coppia htaccess/htpasswd per poter accedere alla pagina specificata? ti risparmi un sacco di problemi con php, variabili di sessione e pippi vari.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
