Non era una critica. Purtroppo anche io mi sto attardando su Asp e ancora non mi sono deciso a cambiare. E continuo coi soliti problemi di Session e cookie.

Biank

Alberto Biancardo
102 messaggi dal 23 giugno 2004
Ciao Orsobruno,

Premetto di essere un ignorante in materia....
ma volevo contribuire col mio pensiero e magari porre delle questioni alle quali dare delle risposte con degli attegiamenti di informazione a tutti i nostri utenti.
C'è da dire (almeno io credo) che tutte le alternative che può trovare il webmaster in tema di sicurezza (e fa benissimo come fai tu a cercare nuove soluzioni), correggetemi se sbaglio, cozza, alle volte, con le mancanze dell'utente che quasi sempre non sà che deve tenere aggiornato tutti i sw. e in particolare quelli di navigazione e il S.O. Per cui credo che un bilanciamento corretto di alternative alle nuove tecniche di Hacking e un aggiornamento costante delle applicazioni dei nostri utenti, facilitato dall' informazione, e dall'assoluta mancanza di retocompatibilità!!!! sia la soluzione ottimale. Irrigidire gli schemi e cosigliare sempre anche con dei link l'aggiornamento dei sw. e imporre alle volte l'upgrade totale alle nuove versioni (es. dalla 5.0 alla 6.0 di IE), rischiando di perdere un piccolo bacino di utenza, può essere una scelta che alla lunga ripaga!

scusate la lunghezza del post e forse delle banalità esposte.
Appena collaudi il tutto xchè non fai un Tutorial?

Ciao a Tutti

Ciao e Grazie
PIXEL
33 messaggi dal 04 aprile 2005
Certo ho capito quello che intendi, sono d'accordo, però c'è anche da dire che un webmaster dovrebbe sempre cercare di rendere un sito il più possibile accessibile. Si potrei fare un tutorial, dammi un pò di tempo che è quello che purtroppo manca... Ciao!
134 messaggi dal 20 marzo 2001
non mi è molto chiaro come sia possibile creare una sessione fittizia..

cioè

nel controllo login la setto
if not rs.eof then session("id_user")=rs("id") else nisba

ora come fai a settarla tu?
134 messaggi dal 20 marzo 2001
Orsobruno ha scritto:
Certo le session possono essere anche passate in GET o tramite form nascosto


cavolo non avevo messo a fuoco questo punto.
Ma chi è il pazzo che passa così le sessioni??
33 messaggi dal 04 aprile 2005
E Fusionman di pazzi ne esistono più di quelli che tu possa pensare, poi se a spiegarti di passare le session in get è uno che insegna php o asp durante qualche fantomatico "corso" tutto ti sembra più chiaro. Io in genere prendo tutto con una certa diffidenza, ci ragiono sopra e tiro fuori le mie soluzioni. A dire il vero ci sono pure documenti che prendono in considerazione il fatto di sessioni passate in maniere non sicure, e se lo fanno è perché c'è qualcuno che adopera questi metodi. A me sembra bello che tramite un post su un forum ci sia gente che rifletta su questo! Cmq conta che nulla è troppo difficile, già il fatto che tu possa leggere l'html di ogni form genera di per se una non sicurezza totale. Non hai mai pensato ad esempio se un furbaccione clona un tuo form tagliando tutti i maxlength, che cosa mai succederà nel DB...
Modificato da Orsobruno il 14 aprile 2005 00.41 -
134 messaggi dal 20 marzo 2001
Orsobruno ha scritto:
E Fusionman di pazzi ne esistono più di quelli che tu possa pensare, poi se a spiegarti di passare le session in get è uno che insegna php o asp durante qualche fantomatico "corso" tutto ti sembra più chiaro. Io in genere prendo tutto con una certa diffidenza, ci ragiono sopra e tiro fuori le mie soluzioni. A dire il vero ci sono pure documenti che prendono in considerazione il fatto di sessioni passate in maniere non sicure, e se lo fanno è perché c'è qualcuno che adopera questi metodi. A me sembra bello che tramite un post su un forum ci sia gente che rifletta su questo! Cmq conta che nulla è troppo difficile, già il fatto che tu possa leggere l'html di ogni form genera di per se una non sicurezza totale. Non hai mai pensato ad esempio se un furbaccione clona un tuo form tagliando tutti i maxlength, che cosa mai succederà nel DB...
Modificato da Orsobruno il 14 aprile 2005 00.41 -


sacre parole :D
Io sono un po come te...vado al manicomio per la sicurezza...e mi ritrovo a filtrare id, lunghezze massime, addirittura il referer del post per evitare i post da remoto (quest'ultimo l'ho dovuto togliere grazie ai firewall che lo bloccano!!).
Sono un po fanatico anche io della sicurezza e si scoprono spesso cose nuove.
Devo dire che il 90% dei siti che navigo hanno i bug più stupidi. Spesso sono siti autorevoli o di sviluppatori cazzuti.
E' pur vero che l'errore di distrazione si vede e ci si deve passare sopra (spesso uno sa ma per distrazione non ha patchato) ma troppo spesso gli errori sono dati dall'ignoranza vera e propria.

Per ricollegarmi al tuo ultimo appunto "un furbaccione clona un tuo form tagliando tutti i maxlength" posso dire:
"Mai fare controlli solo lato client" :)
un bel left(variabile,maxvalue) e siamo tutti più tranquilli
33 messaggi dal 04 aprile 2005
si si fusioman, quello che sviluppo io di solito non utilizza proprio i controlli lato client, le validazioni le esegue il server, limita i caratteri, sega i caratteri speciali. Così sei tranqui che tutto funzioni per davvero. La pensiamo in maniera identica.

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.