DOMANDA Autenticazione Php

Pubblicità
Andrea1234567

Andrea1234567

Utente Attivo
Messaggi
234
Reazioni
29
Punteggio
39
Ciao, nel mio sito ho bisogno di gestire degli utenti i quali dovranno inserire anche delle informazioni sensibili, quindi volevo creare un sistema di autenticazione (registrazione/login) sicuro in PHP ( non il solito hash della password e basta). E' da un po' che mi informo sui vari tipi di attacchi possibili e, in internet, ho visto anche alcune librerie/script, ma sono tutte diverse e non capisco bene quali sono le cose importanti.

Volevo sapere se avevate qualche libreria da consigliarmi oppure qualche tutorial o comunque cosa deve avere il mio sistema di autenticazione per stare sicuro.

Grazie in anticipo
 
Owasp è la bibbia per quanto riguarda la sicurezza. Qui la pagina che parla dell'autenticazione.
In generale, oltre a dover mettere in sicurezza le password nel database (ad esempio con password_hash), direi di fare attenzione agli attacchi CSRF e XSS.
Per questi due tipi di attacchi in genere si procede alla generazione/controllo di un token univoco (che si dovrebbe mettere in ogni form a dire la verità) per ogni sessione e fare la validazione dei dati inseriti dall'utente prima di utilizzarli.
 
Ciao, grazie per il link che mi hai postato, gli ho dato un'occhiata e ho trovato alcuni ottimi consigli.
Volevo chiederti se conosci qualche libreria, esempio o tutorial in php perché sono dell'idea che quando si tratta di sicurezza di dati altrui è meglio magari vedere qualcosa di già fatto e sicuro e magari lavorarci sopra aggiungendo o togliendo ciò che mi serve o meno, piuttosto che fare da se e lasciare buchi grandi come una casa inconsapevolmente.
 
Se vuoi qualcosa di già fatto (sia da studiare che eventualmente da utilizzare), ti consiglio di dare un'occhiata ai vari microframework come slim o lumen.

Onestamente di librerie che gestiscono solo il login/sessione non ne conosco.


EDIT:
Aggiungo, la base della sicurezza stà ovviamente anche nell'utilizzare HTTPS invece che HTTP.
Questo però lo davo per scontato..
 
Ultima modifica:
cdtux ha detto:
Owasp è la bibbia per quanto riguarda la sicurezza. Qui la pagina che parla dell'autenticazione.
In generale, oltre a dover mettere in sicurezza le password nel database (ad esempio con password_hash), direi di fare attenzione agli attacchi CSRF e XSS.
Per questi due tipi di attacchi in genere si procede alla generazione/controllo di un token univoco (che si dovrebbe mettere in ogni form a dire la verità) per ogni sessione e fare la validazione dei dati inseriti dall'utente prima di utilizzarli.
Clicca per espandere...
@cdtux ho trovato l'unico post in cui si cita l'attacco CSRF e spero potrai illuminarmi ancora: il tool che sto usando per il controllo del codice mi suggerisce che per chiudere questa falla si può includere una libreria adatta:
Schermata 2017-07-12 alle 17.06.30.webp
Il codice da fixare sono tutte le query di questo tipo:
PHP: 
$stmt = $dbh->prepare( "INSERT INTO `sensori` (`IdSensori`, `StringaDati`, `IdAmbiente`) VALUES (NULL, :stringaDati, :ID)");
Mi sai dire cosa posso usare?
Grazie per le risposte
 
Per generare il token ci sono nmiliardi di modi, dipende tutto da come è strutturato il tuo sito: Qui alcuni esempi.
 
Pubblicità
Pubblicità
Indietro
Top