[php] connessione "riservata"?

gasfax · 11-04-2012, 19:39

Ciao a tutti

sto sviluppando una pagina web che, una volta operativa dovrebbe recuperare dati dal server aziendale interno (webservice) e mostrarli tramite browser.
Per motivi di sicurezza mi è stato chiesto di prevedere che le richieste al webservice siano quanto più "blindate" possibili... quindi?

prendendo come presupposto che l'accesso sarà riservato come rendere la connessione tra web server e server interno sicura?
Non saprei nemmeno da dove partire... Verifica ip del wb server da implementare sul server interno? Non mi sembra cosí sicuro... ssh? E come? VPN? Da scartare perchè non supportata dall'hosting.

Qualcuno ha qualche idea?

Grazie

nico159 · 11-04-2012, 22:06

Bella richiesta

Non so aiutarti molto al riguardo, ma se il webservice utilizza http come protocollo di trasporto allora iniziare a passare a https è il primo passo naturale

Per l'autenticazione dal server puoi inserire nella richiesta al webservice dei cookie/header appositi e controllare nel webservice la presenza di questi

Un qualcosa come inserire nell'header:
Io-Uso-La-Forza-MaTuNonLoSai: "ò458;-9yU+WGg43+pèòèjhkH34è{2787cvg7ò.{àqhuihuv:.-+eWcf034è+à543ge+èòòhbHGgdAUI463+à++òòè+.hfh58g8*qw+è95tujinvs;"

Un approccio simile è utile perchè oltre a sapere la password chi ti attacca deve sapere anche che stai usando un header ed il nome di questo header - "security through obscurity"

Esponi tramite webservice meno dati possibili - giusto quelli necessari allo script php

Logga ogni richiesta che arriva al webservice

Limitare per ip è qualcosa in più che male non fa - non è così immediato fare lo spoofing dell'ip con i moderni stack tcp/ip

I miei consigli sono proprio di base ma comunque validi ed utilizzati anche in produzione - aspetta anche qualcun altro per avere altre dritte

gasfax · 11-04-2012, 22:44

Ciao Nico, intanto grazie... ogni aiuto è ben accetto e nulla è scontato! magari oltre ad aiutare me riusciamo ad aiutare qualcun altro.

Già, https, di sicuro aumenterebbe la sicurezza... ma come si fa? è sufficiente usare "httpsdocs" e il resto vien da se o ci sono chiavi o quant'altro?

l'header "security through obscurity"... non è elegantissimo forse ma una valida alternativa in mancaza d'altro

Per quanto riguarda il webservice, purtroppo il problema non sarebbe tanto esporre i dati quanto validare quelli in ingresso visto che ci saranno metodi di scrittura diretta... comunque, precisazione a parte, l'intendo comunque è quello di limitare il più possibile.

Intanto ho qualcosa su cui ragionare...

11-04-2012, 19:39	#1
gasfax Member Iscritto dal: Jul 2000 Messaggi: 174	[php] connessione "riservata"? Ciao a tutti sto sviluppando una pagina web che, una volta operativa dovrebbe recuperare dati dal server aziendale interno (webservice) e mostrarli tramite browser. Per motivi di sicurezza mi è stato chiesto di prevedere che le richieste al webservice siano quanto più "blindate" possibili... quindi? prendendo come presupposto che l'accesso sarà riservato come rendere la connessione tra web server e server interno sicura? Non saprei nemmeno da dove partire... Verifica ip del wb server da implementare sul server interno? Non mi sembra cosí sicuro... ssh? E come? VPN? Da scartare perchè non supportata dall'hosting. Qualcuno ha qualche idea? Grazie

11-04-2012, 22:06	#2
nico159 Senior Member Iscritto dal: Aug 2003 Città: Barletta (BA) Messaggi: 939	Bella richiesta Non so aiutarti molto al riguardo, ma se il webservice utilizza http come protocollo di trasporto allora iniziare a passare a https è il primo passo naturale Per l'autenticazione dal server puoi inserire nella richiesta al webservice dei cookie/header appositi e controllare nel webservice la presenza di questi Un qualcosa come inserire nell'header: Io-Uso-La-Forza-MaTuNonLoSai: "ò458;-9yU+WGg43+pèòèjhkH34è{2787cvg7ò.{àqhuihuv:.-+eWcf034è+à543ge+èòòhbHGgdAUI463+à++òòè+.hfh58g8qw+è95tujinvs;" Un approccio simile è utile perchè oltre a sapere la password chi ti attacca deve sapere anche che stai usando un header ed il nome di questo header - "security through obscurity" Esponi tramite webservice meno dati possibili - giusto quelli necessari allo script php Logga ogni richiesta che arriva al webservice Limitare per ip è qualcosa in più che male non fa - non è così immediato fare lo spoofing dell'ip con i moderni stack tcp/ip I miei consigli sono proprio di base ma comunque validi ed utilizzati anche in produzione - aspetta anche qualcun altro per avere altre dritte __________________ In a world without fences, who needs Gates? Power by: Fedora 8 - Mac OS X 10.4.11 Ultima modifica di nico159 : 11-04-2012 alle 22:13.*

11-04-2012, 22:44	#3
gasfax Member Iscritto dal: Jul 2000 Messaggi: 174	Ciao Nico, intanto grazie... ogni aiuto è ben accetto e nulla è scontato! magari oltre ad aiutare me riusciamo ad aiutare qualcun altro. Già, https, di sicuro aumenterebbe la sicurezza... ma come si fa? è sufficiente usare "httpsdocs" e il resto vien da se o ci sono chiavi o quant'altro? l'header "security through obscurity"... non è elegantissimo forse ma una valida alternativa in mancaza d'altro Per quanto riguarda il webservice, purtroppo il problema non sarebbe tanto esporre i dati quanto validare quelli in ingresso visto che ci saranno metodi di scrittura diretta... comunque, precisazione a parte, l'intendo comunque è quello di limitare il più possibile. Intanto ho qualcosa su cui ragionare...

Strumenti
Mostra una versione stampabile Invia questa pagina per email