PDA

View Full Version : [php] connessione "riservata"?

gasfax
11-04-2012, 20:39
Ciao a tutti :)
sto sviluppando una pagina web che, una volta operativa dovrebbe recuperare dati dal server aziendale interno (webservice) e mostrarli tramite browser.
Per motivi di sicurezza mi è stato chiesto di prevedere che le richieste al webservice siano quanto più "blindate" possibili... quindi? :confused: :mbe:
prendendo come presupposto che l'accesso sarà riservato come rendere la connessione tra web server e server interno sicura?
Non saprei nemmeno da dove partire... Verifica ip del wb server da implementare sul server interno? Non mi sembra cosí sicuro... ssh? E come? VPN? Da scartare perchè non supportata dall'hosting.

Qualcuno ha qualche idea?

Grazie ;)
nico159
11-04-2012, 23:06
Bella richiesta

Non so aiutarti molto al riguardo, ma se il webservice utilizza http come protocollo di trasporto allora iniziare a passare a https è il primo passo naturale

Per l'autenticazione dal server puoi inserire nella richiesta al webservice dei cookie/header appositi e controllare nel webservice la presenza di questi

Un qualcosa come inserire nell'header:
Io-Uso-La-Forza-MaTuNonLoSai: "ò458;-9yU+WGg43+pèòèjhkH34è{2787cvg7ò.{àqhuihuv:.-+eWcf034è+à543ge+èòòhbHGgdAUI463+à++òòè+.hfh58g8*qw+è95tujinvs;"

Un approccio simile è utile perchè oltre a sapere la password chi ti attacca deve sapere anche che stai usando un header ed il nome di questo header - "security through obscurity" :D

Esponi tramite webservice meno dati possibili - giusto quelli necessari allo script php

Logga ogni richiesta che arriva al webservice

Limitare per ip è qualcosa in più che male non fa - non è così immediato fare lo spoofing dell'ip con i moderni stack tcp/ip

I miei consigli sono proprio di base ma comunque validi ed utilizzati anche in produzione - aspetta anche qualcun altro per avere altre dritte
gasfax
11-04-2012, 23:44
Ciao Nico, intanto grazie... ogni aiuto è ben accetto e nulla è scontato! magari oltre ad aiutare me riusciamo ad aiutare qualcun altro. :)

Già, https, di sicuro aumenterebbe la sicurezza... ma come si fa? è sufficiente usare "httpsdocs" e il resto vien da se o ci sono chiavi o quant'altro? :)

l'header "security through obscurity"... non è elegantissimo forse ma una valida alternativa in mancaza d'altro ;)

Per quanto riguarda il webservice, purtroppo il problema non sarebbe tanto esporre i dati quanto validare quelli in ingresso visto che ci saranno metodi di scrittura diretta... comunque, precisazione a parte, l'intendo comunque è quello di limitare il più possibile.

Intanto ho qualcosa su cui ragionare... ;)