Sicurezza AJAX

MEMon · 06-05-2007, 17:58

Ho un dubbio, siccome con ajax si può controllare un database, e siccome il codice per farlo non è altro che banalissimo javascript, se decidessi di dare la possibilita ad un "super utente" di cancellare e modificare i dati in un database tramite AJAX avrei sicurezza pari a zero vero?

Quello che voglio dire è che studiando il codice javascript che fa la chiamata AJAX si potrebbe capire come funziona lo script(ad esempio php) al quale si appoggia, e quindi poterne fare quello che si vuole, o sbaglio?

Sono confuso...

cionci · 06-05-2007, 20:52

Con php puoi generare uno script AJAX diverso a seconda dell'utente autenticato. In questo modo solo un utente con i permessi avrà in locale lo script adatto. Ci possono essere ancora problemi di sicurezza (ad esempio lo script rimane nella cache del browser), ma se progetti bene le parti che dialogano puoi gestire tutto quello che riguarda la sicurezza a livello di server (ad esempio sfruttando nuovamente la sessine php per acconsentire determinate operazioni richieste dallo script javascript)...

prodigy · 06-05-2007, 21:50

puoi avere problemi di sicurezza nella parte javascript poichè può essere manomessa e quindi è consigliabile, come diceva appunto cionci, non demandare alla parte in javascript controlli "delicati". Se proprio vuoi/devi farlo assicurati che lato php ci sia un doppio controllo di tutto quello che viene passato via javascript. In questo modo, tramite php, puoi fare tutto quello che vuoi come lo faresti normalmente senza problemi di sicurezza.

MEMon · 07-05-2007, 11:46

Ok grazie ragazzi

MEMon · 10-05-2007, 20:47

Scusate se riuppo, ho fatto il mio bel scriptino e ne sono abbastanza soddisfatto.

Volevo sapere, nello script faccio il controllo del referrer e dello stato di un cookie, secondo voi è sufficiente per evitare che lo script sia utilizzato "dall'esterno"?

whiles_ · 10-05-2007, 20:57

Quote:

Originariamente inviato da MEMon

Scusate se riuppo, ho fatto il mio bel scriptino e ne sono abbastanza soddisfatto.

Volevo sapere, nello script faccio il controllo del referrer e dello stato di un cookie, secondo voi è sufficiente per evitare che lo script sia utilizzato "dall'esterno"?

Lo script non può effettuare chiamate all'esterno, quindi il problema non si pone

Comunque è il massimo controllo che puoi fare, questo sì. I controlli di sicurezza lato server devono essere i più curati, e non avrai alcun problema. Comunque la connessione al database deve avvenire lato server, quindi non vedo dove sia il problema

O no?

MEMon · 10-05-2007, 20:59

Ti devo smentire purtroppo, le chiamate si fanno anche dall'esterno.
Comunque se mi dice che è il massimo che si può fare sto tranquillo dai.

ps.se diffidi metti su uno scriptino php che te lo chiamo

heheh

whiles_ · 10-05-2007, 21:03

Quote:

Originariamente inviato da MEMon

Ti devo smentire purtroppo, le chiamate si fanno anche dall'esterno.
Comunque se mi dice che è il massimo che si può fare sto tranquillo dai.

ps.se diffidi metti su uno scriptino php che te lo chiamo

heheh

Sei sicuro?

Ma parli di una pagina html o su un'estensione?

MEMon · 10-05-2007, 21:05

Bhe il modo non è importante o no?
Cioè il fatto è che si può, questo è il problema...

whiles_ · 10-05-2007, 21:18

Quote:

Originariamente inviato da MEMon

Bhe il modo non è importante o no?
Cioè il fatto è che si può, questo è il problema...

No è molto diverso, in locale uno può fare quello che vuole, con javascript o meno. Mentre in rete, in un servizio che utilizzano tutti gli altri utenti, il rischio di phishing perfetto utilizzando questo metodo è molto elevato.

Comunque il problema non sussiste, è allo script php il compito di verificare se l'utente ha il permesso di cancellare quella determinata tabella e autorizzare o no l'operazione, non al javascript

Non ha nulla di differente dal metodo normale senza ajax, è esattamente uguale. E non c'è mica solo javascript che ti fa eseguire uno script php, ma qualunque linguaggio di programmazione.

MEMon · 10-05-2007, 21:23

Quote:

Originariamente inviato da whiles_

No è molto diverso, in locale uno può fare quello che vuole, con javascript o meno. Mentre in rete, in un servizio che utilizzano tutti gli altri utenti, il rischio di phishing perfetto utilizzando questo metodo è molto elevato.

Bhe si ma se utilizzo uno script che si trova online ci faccio poi quel che mi pare, se lo script comanda direttamente un database posso comandare il database...

Quote:

Comunque il problema non sussiste, è allo script php il compito di verificare se l'utente ha il permesso di cancellare quella determinata tabella e autorizzare o no l'operazione, non al javascript

Non ha nulla di differente dal metodo normale senza ajax, è esattamente uguale. E non c'è mica solo javascript che ti fa eseguire uno script php, ma qualunque linguaggio di programmazione.

Bhe si era appunto quello che chiedevo...appurato il fatto che uno script php si può chiamare con javascript anche dall'esterno, volevo appunto sapere se già così stavo abbastanza sicuro.

whiles_ · 10-05-2007, 21:27

Quote:

Originariamente inviato da MEMon

Bhe si era appunto quello che chiedevo...appurato il fatto che uno script php si può chiamare con javascript anche dall'esterno, volevo appunto sapere se già così stavo abbastanza sicuro.

il tuo script amministra direttamente il database, senza un controllo lato server? Se fosse così non ci vuole comunque niente a falsificare il referrer ed il cookie di controllo, e fottere tutto... Il controllo lato server è fondamentale...

MEMon · 10-05-2007, 21:29

Si amministra il database... azz come possono fare a falsificare il referrer?

E quindi che altri controlli devo fare? Inserisco le sessioni?

MEMon · 10-05-2007, 21:31

Quote:

Originariamente inviato da whiles_

il tuo script amministra direttamente il database, senza un controllo lato server? Se fosse così non ci vuole comunque niente a falsificare il referrer ed il cookie di controllo, e fottere tutto... Il controllo lato server è fondamentale...

Scusami ma x controllo lato server che intendi precisamente?

whiles_ · 10-05-2007, 21:37

Quote:

Originariamente inviato da MEMon

Scusami ma x controllo lato server che intendi precisamente?

Che cosa devi fare precisamente? Non va bene un semplice controllo username + password, magari solo per le operazioni che richiedono più "diritti"?

Si può falsificare il referrer semplicemente utilizzando un qualunque linguaggio di programmazione e richiamando lo script php utilizzando gli header opportunamente falsificati... è una cosetta da niente, semplicissimo.

MEMon · 10-05-2007, 21:40

Ti spiego, il sito è accessibile dopo che si è loggati, una volta loggato viene settato un cookie che lo uso un po' per tutto...
lo uso anche per validare lo script che controlla il database, il quale viene utilizzato tramite ajax.

Quindi, una volta loggati, come faccio a ricontrollare sempre se username e password van bene? Uso le sessioni?
Ma sono sicure?

whiles_ · 10-05-2007, 21:47

Quote:

Originariamente inviato da MEMon

Ti spiego, il sito è accessibile dopo che si è loggati, una volta loggato viene settato un cookie che lo uso un po' per tutto...
lo uso anche per validare lo script che controlla il database, il quale viene utilizzato tramite ajax.

Quindi, una volta loggati, come faccio a ricontrollare sempre se username e password van bene? Uso le sessioni?
Ma sono sicure?

E' assolutamente insicuro, il cookie si può falsificare... Le sessioni invece sono sicure, perchè le variabili non vengono salvate nei cookie ma localmente. Ti conviene avviare la sessione anzichè usare il cookie, e poi controllare se la sessione è aperta per concedere o no l'esecuzione dello script. In alternativa, se vuoi usare privilegi differenti, quando si logga l'admin, avvia la sessione e setta $_SESSION['admin']=true.
Così se deve eliminare un database lo script controlla che $_SESSION['admin']=true, mentre se deve inserire un semplice record controlla semplicemente che la sessione sia aperta.

MEMon · 10-05-2007, 21:49

Ok farò così ti ringrazio.
Però questo comporta ovviamente la necessità di riloggarsi se chiudo il browser vero?

whiles_ · 10-05-2007, 21:54

Quote:

Originariamente inviato da MEMon

Ok farò così ti ringrazio.
Però questo comporta ovviamente la necessità di riloggarsi se chiudo il browser vero?

No, il cookie di riferimento alla sessione rimane anche quando il browser viene chiuso e riaperto. La sessione scade automaticamente dopo non mi ricordo quante ore, ma è comunque un intervallo di tempo che si può modificare da php.ini

Le sessioni sono sempre le cose migliori da usare quando si parla di sicurezza

MEMon · 10-05-2007, 22:00

Sapevo che le sessioni duravano solo per il tempo in cui il browser era aperto, una volta chiuso, sessione scaduta.

Comunque mi informo meglio e ho capito che devo puntare sulle sessioni, ti ringrazio intanto!

06-05-2007, 17:58	#1
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Sicurezza AJAX Ho un dubbio, siccome con ajax si può controllare un database, e siccome il codice per farlo non è altro che banalissimo javascript, se decidessi di dare la possibilita ad un "super utente" di cancellare e modificare i dati in un database tramite AJAX avrei sicurezza pari a zero vero? Quello che voglio dire è che studiando il codice javascript che fa la chiamata AJAX si potrebbe capire come funziona lo script(ad esempio php) al quale si appoggia, e quindi poterne fare quello che si vuole, o sbaglio? Sono confuso...

06-05-2007, 21:50	#3
prodigy Senior Member Iscritto dal: Jan 2003 Città: Salerno[eboli] Messaggi: 262	puoi avere problemi di sicurezza nella parte javascript poichè può essere manomessa e quindi è consigliabile, come diceva appunto cionci, non demandare alla parte in javascript controlli "delicati". Se proprio vuoi/devi farlo assicurati che lato php ci sia un doppio controllo di tutto quello che viene passato via javascript. In questo modo, tramite php, puoi fare tutto quello che vuoi come lo faresti normalmente senza problemi di sicurezza. __________________ Asus A7N8X-E De Luxe-DDR PC3000 KINGSTON HYPERX CAS 2-AMD XP 2000@2300-THERMALTAKE VOLCANO7+ -2 X HDD MAXTOR 160 GB-GEXCUBE 9600XT 256 MB-Ho fatto affari con:carmine65,piloz,skazzo,sebezio,marcolinoz,dangermax,bixxio,sicuzzo,sgogeta,sauro... e tanti altri...

06-05-2007, 20:52	#2
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Con php puoi generare uno script AJAX diverso a seconda dell'utente autenticato. In questo modo solo un utente con i permessi avrà in locale lo script adatto. Ci possono essere ancora problemi di sicurezza (ad esempio lo script rimane nella cache del browser), ma se progetti bene le parti che dialogano puoi gestire tutto quello che riguarda la sicurezza a livello di server (ad esempio sfruttando nuovamente la sessine php per acconsentire determinate operazioni richieste dallo script javascript)...

07-05-2007, 11:46	#4
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Ok grazie ragazzi

10-05-2007, 20:47	#5
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Scusate se riuppo, ho fatto il mio bel scriptino e ne sono abbastanza soddisfatto. Volevo sapere, nello script faccio il controllo del referrer e dello stato di un cookie, secondo voi è sufficiente per evitare che lo script sia utilizzato "dall'esterno"?

10-05-2007, 20:59	#7
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Ti devo smentire purtroppo, le chiamate si fanno anche dall'esterno. Comunque se mi dice che è il massimo che si può fare sto tranquillo dai. ps.se diffidi metti su uno scriptino php che te lo chiamo heheh

10-05-2007, 21:05	#9
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Bhe il modo non è importante o no? Cioè il fatto è che si può, questo è il problema...

10-05-2007, 21:29	#13
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Si amministra il database... azz come possono fare a falsificare il referrer? E quindi che altri controlli devo fare? Inserisco le sessioni?

10-05-2007, 21:40	#16
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Ti spiego, il sito è accessibile dopo che si è loggati, una volta loggato viene settato un cookie che lo uso un po' per tutto... lo uso anche per validare lo script che controlla il database, il quale viene utilizzato tramite ajax. Quindi, una volta loggati, come faccio a ricontrollare sempre se username e password van bene? Uso le sessioni? Ma sono sicure?

10-05-2007, 21:49	#18
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Ok farò così ti ringrazio. Però questo comporta ovviamente la necessità di riloggarsi se chiudo il browser vero?

10-05-2007, 22:00	#20
MEMon Senior Member Iscritto dal: Dec 2002 Messaggi: 3359	Sapevo che le sessioni duravano solo per il tempo in cui il browser era aperto, una volta chiuso, sessione scaduta. Comunque mi informo meglio e ho capito che devo puntare sulle sessioni, ti ringrazio intanto!

Strumenti
Mostra una versione stampabile Invia questa pagina per email