View Single Post
Old 22-05-2009, 15:35   #2
Sisupoika
Registered User
 
Iscritto dal: Nov 2006
Cittā: Espoo, Finland
Messaggi: 1631
Dimenticavo: voglio aggiungere una nota agli sviluppatori in ascolto, affinche' il web diventi un posto migliore

1) lasciate perdere html sanitization a meno che sappiate cio' che fate. Datevi al whitelisting invece, perdete meno tempo

2) mai usare i parametri dello URL per passare stringhe che verranno visualizzate nella pagina (messaggi di benvenuto, messaggi di errore, ecc).

3) segnate sempre i cookies per il solo utilizzo attraverso HTTP. Cosi' facendo, evitate problemi con tecniche basate su XML HTTP (AJAX) di cui parlero' magari in un'altra occasione.

4) utilizzate sempre un valore nonce ad ogni richiesta che abbia a che fare con dati privati, e fate si' che questo valore sia soltanto valido per una singola richiesta, o almeno solo per la sessione corrente.

5) mai salvare nei cookies informazioni in chiaro che possano essere utilizzate per aggirare l'autenticazione o compromettere l'account di un altro utente. Vi passo dell'ottimo materiale di studio che e' da tempo alla base delle mie implementazioni.
A secure cookie protocol


C'e' naturalmente molto altro, ma con queste 5 regole d'oro metterete le vostre applicazioni (e i vostri utenti ) al sicuro dalla vasta maggioranza di attacchi.

@Mod, non sarebbe una bella idea metterlo nell'elenco dei thread utili, come reference? Del resto mi ha portato via un'ora

Ultima modifica di Sisupoika : 22-05-2009 alle 16:17.
Sisupoika č offline   Rispondi citando il messaggio o parte di esso