DOMANDA Metodo di autenticazione artigianale

[Daniele00]

Salve, per uno spazio privato di un mio sito internet sviluppato in php ho adottato la seguente soluzione:

Ogni cartella rappresenta un username, e all'interno vi sono le rispettive password. Lo script di autenticazione esamina le cartelle per vedere se esiste quell'utente, e verifica se gli hash md5 coincidano e regola le sessioni di conseguenza. Il tutto protetto da .htaccess che bloccano ogni accesso esterno.

Mi rendo conto che è diciamo... poco professionale e che ci vorrebbe una database.
Ma tralasciando le convenzioni sapreste spiegarmi quali potrebbero essere in modo pratico e reale eventuali problematiche relative alla sicurezza adottando questo metodo?
(la quantità degli utenti è nell'ordine delle decine, non vi è dunque il problema relativo all'ottimizzazione e ai tempi di caricamento/elaborazione/accesso)

Grazie.

 

[r3dl4nce]

Sì, ti serve un database. Se non vuoi usare mysql / mariadb / postgres, in php dovresti poter usare sqlite che non richiede un motore di database, scrive semplicemente su un file

Detto ciò spero tu non abbia memorizzato in chiaro le password.

 

[BAT]

l'hashing MD5 è considerato troppo debole per la sicurezza, sarebbe meglio usare SHA-512;
se hai un dominio di 2° livello accertati che il sito sia accessibile in https prgettandolo per la sicurezza in primis.
Devi tener conto che se custodisci dati sensibili degli utenti il sito è sottoposto al GDPR e ti devi adeguare per non rischiare multe salatissime

 

[Daniele00]

Sì, ti serve un database. Se non vuoi usare mysql / mariadb / postgres, in php dovresti poter usare sqlite che non richiede un motore di database, scrive semplicemente su un file

Detto ciò spero tu non abbia memorizzato in chiaro le password.

Le password non sono in chiaro

l'hashing MD5 è considerato troppo debole per la sicurezza, sarebbe meglio usare SHA-512;
se hai un dominio di 2° livello accertati che il sito sia accessibile in https prgettandolo per la sicurezza in primis.
Devi tener conto che se custodisci dati sensibili degli utenti il sito è sottoposto al GDPR e ti devi adeguare per non rischiare multe salatissime

Potrei anche mettere in SHA-512, strutturalmente non è una grande modifica.

Vi sono però vulnerabilità serie con questo metodo?
Cosa comporta tecnicamente adeguarsi alla GDPR?

 

[r3dl4nce]

A livello di sicurezza, solo per ciò che riguarda l'autenticazione, stai praticamente usando dei file come fossero un database artigianale non è più in insicuro che usare un database, solo meno standard, meno supportato, meno efficiente, ecc.
Hai provato a guardare sqlite?

 

[Daniele00]

A livello di sicurezza, solo per ciò che riguarda l'autenticazione, stai praticamente usando dei file come fossero un database artigianale non è più in insicuro che usare un database, solo meno standard, meno supportato, meno efficiente, ecc.
Hai provato a guardare sqlite?

Ancora no, ma lo farò. Il fatto di non dover avere un motore di database attivo è molto interessante.

Per la conservazione dei file c'è qualche accortezza particolare o basta metterli in una cartella protetta da .htaccess e magari evitare download diretti?