Torna indietro   Hardware Upgrade Forum > Software > Programmazione

Peugeot Polygon Concept: ecco il futuro delle utilitarie
Peugeot Polygon Concept: ecco il futuro delle utilitarie
Polygon è la concept car di Peugeot che mostra il futuro delle soluzioni del segmento B: tra design compatti e innovativi affiancati da dimensioni compatte uno scherzo dalla manovrabilità incredibile per le manovre a bassa velocità
Reno16 Pro: il compatto di OPPO punta su fotocamera da 200MP e il nuovo Bubble! La recensione
Reno16 Pro: il compatto di OPPO punta su fotocamera da 200MP e il nuovo Bubble! La recensione
OPPO ha portato in Italia, dal 1° luglio 2026, Reno16 Pro: display AMOLED da 6,32 pollici a 144Hz, tripla fotocamera con sensore principale da 200 megapixel, chip Dimensity 8550 Super e batteria da 6000mAh, al prezzo di lancio di 899 euro. Lo abbiamo provato per due settimane insieme al nuovo accessorio Bubble, per capire se la formula compatta della serie regge ancora di fronte a un listino da 1099 euro
 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
MiniLED di fascia media con local dimming a 192 zone, 144 Hz nativi e audio firmato Devialet. La prova strumentale riscontra colori affidabili e gaming reattivo, per un prodotto molto accessibile e convincente. Ma la soundbar aggiuntiva è quasi d'obbligo
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 28-09-2003, 22:30   #1
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
sicurezza pagine ASP con password

ho implementato delle pagine asp sul mio sito, il cui accesso è autorizzato solo in caso si immetta un certa user e pass.
Ebbene questa user e pass è presente nel codice asp della pagina stessa:

...
<%
if user="tizio" and pass="01011975" then
' accedi alla pagina
else
response.redirect a pagina di errore
end if
%>
...

Vi pare una cosa sicura ?
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 29-09-2003, 00:41   #2
matpez
Senior Member
 
L'Avatar di matpez
 
Iscritto dal: Aug 2002
Città: Biella
Messaggi: 1882
Si abbastanza, diciamo che il sorgente non si può prendere dal server in maniera cosi facile, anche se tu usassi una programma che scarica e gli dai una pagina ASP lui prima di dartela la compila e poi te la passa, per cui arriva in html!!

Se uno fosse in grado di farlo niente lo fermerbbe, anche se tu memorizzi le psw dentro ad un database una volta scaricata la pagine avrebbe a disposizione la path del db facilitando il compito!

Diciamo che dipende anche dalla sicurezza del server che ospita, se è poco sicuro le informazioni passate sono al quanto a rischio!
matpez è offline   Rispondi citando il messaggio o parte di esso
Old 29-09-2003, 14:41   #3
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
Quote:
Originariamente inviato da matpez

Diciamo che dipende anche dalla sicurezza del server che ospita, se è poco sicuro le informazioni passate sono al quanto a rischio!
passate in che senso ? quando via browser digito pass e user queste informazioni viaggiano sulla rete e sono intercettabili. Giusto ? Allora una nuova domanda quanto è facile intercettare queste informazioni ?
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 29-09-2003, 15:42   #4
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Quote:
Originariamente inviato da karloss
passate in che senso ? quando via browser digito pass e user queste informazioni viaggiano sulla rete e sono intercettabili. Giusto ? Allora una nuova domanda quanto è facile intercettare queste informazioni ?
Le può intercettare solamente un computer che si trova nel tratto di rete attraversato da queste informazioni...
cionci è offline   Rispondi citando il messaggio o parte di esso
Old 29-09-2003, 18:00   #5
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
Quote:
Originariamente inviato da cionci
Le può intercettare solamente un computer che si trova nel tratto di rete attraversato da queste informazioni...
non un computer qualsiasi (di un utente) ma un 'nodo' internet, giusto ? da chi sono gestiti ?
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 29-09-2003, 18:36   #6
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Quote:
Originariamente inviato da karloss
non un computer qualsiasi (di un utente) ma un 'nodo' internet, giusto ? da chi sono gestiti ?
O anche un computer qualsiasi che sta su un 'nodo' (come lo chiami tu)... Ovunque passino le informazioni che hai spedito per arrivare a destinazione...
Possono essere gestiti da chiunque...stato, esercito, piccole e grandi aziende, università, anche un privato...
cionci è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 02:35   #7
matpez
Senior Member
 
L'Avatar di matpez
 
Iscritto dal: Aug 2002
Città: Biella
Messaggi: 1882
Esattamente era quello che intendevo, non è facile ma chi lo sa fare e con i programmi giusti...gli "sniffer" sono programmi che intercettano tutte le comunicazioni che passano dalle porte di un server, per cui cmq è proprio una persona che vuole te a quell'ip e quel server....

Detto tutto e forse anche troppo
matpez è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 08:39   #8
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
mettre queste pagine su un server SSL cambia qualcosa ? o alla fine il problema principale rimane il viaggio del mio input (user e pass) dal mio computer al server con la mia pagina ?
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 10:13   #9
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Rimane, ma è criptato !!! Quindi virtualmente non così facile da intercettare...
cionci è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 10:39   #10
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
Quote:
Originariamente inviato da cionci
Rimane, ma è criptato !!! Quindi virtualmente non così facile da intercettare...
il mio browser cripta i dati prima di inviarli sulla rete ???
perche' quando immetto user e pass dal mio PC è da qui che partono!
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 10:42   #11
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Su una connessione SSL sì...è fatta proprio per quello !!!
cionci è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 11:08   #12
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
Quote:
Originariamente inviato da cionci
Su una connessione SSL sì...è fatta proprio per quello !!!
scusa se insisto, ma io non devo fare nulla nel mio codice ? basta che richiedo l'SSL al mio provider, poi ci metto le pagine e tutti i dati viaggiano avanti e indietro criptati ?
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 11:11   #13
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Sì...
cionci è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 11:36   #14
matpez
Senior Member
 
L'Avatar di matpez
 
Iscritto dal: Aug 2002
Città: Biella
Messaggi: 1882
Quote:
Originariamente inviato da karloss
scusa se insisto, ma io non devo fare nulla nel mio codice ? basta che richiedo l'SSL al mio provider, poi ci metto le pagine e tutti i dati viaggiano avanti e indietro criptati ?
Ma posso chiederti cosa ti serve SSL, di solito questo metodo si utilizza quando passano informazioni di carte di credito o dati molto importanti!
matpez è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 12:06   #15
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
Quote:
Originariamente inviato da matpez
Ma posso chiederti cosa ti serve SSL, di solito questo metodo si utilizza quando passano informazioni di carte di credito o dati molto importanti!
vorrei implementare la gestione degli ordini di un sito di e-commerce on-line, creare quindi un database ordini, ed attingere e modificare quest'ultimo per evadere gli ordini tenere traccia delle spedizioni e fare le fatture, ecc.
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 12:12   #16
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Magari puoi usare SSL solo per la procedura di login... Usarlo epr uttto il sito non importa...inoltre dopo hai le sessioni che sono potenzialmente sicure...
cionci è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 12:24   #17
karloss
Senior Member
 
L'Avatar di karloss
 
Iscritto dal: Mar 2001
Messaggi: 612
Quote:
Originariamente inviato da cionci
Magari puoi usare SSL solo per la procedura di login... Usarlo epr uttto il sito non importa...inoltre dopo hai le sessioni che sono potenzialmente sicure...
una volta loggato attribuisco ad una variabile di sessione un valore che significa: sono IO e non un pirata e le altre pagine sebbene nn piu' su SSL controllano all'inizio questa variabile... e in caso negativo Response.redirect su pagina di errore !

ma nn c'e' modo x il 'bucaniere' di impostare lui la variabile di sessione ??? scovando tra l'altro quale sia il valore richiesto ? oppure inibire il Response.redirect ??
karloss è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 13:07   #18
matpez
Senior Member
 
L'Avatar di matpez
 
Iscritto dal: Aug 2002
Città: Biella
Messaggi: 1882
Quote:
Originariamente inviato da karloss
ma nn c'e' modo x il 'bucaniere' di impostare lui la variabile di sessione ??? scovando tra l'altro quale sia il valore richiesto ? oppure inibire il Response.redirect ??
No, perchè quando cambi dominio anche il nome di una stessa variabile di session viene resettata oppure meglio diaciamo che punta da un'altra parte!!

Ho fatto una prova mettendo un locale una pagina che scrive la session e sul server ftp una pagine che legge la variabile, risultato....variabile vuota!!

Se invece fai la stessa cosa su un dominio solo e chiami la stessa varibile + volte lui sovrascrive sempre il tutto.

Diciamo che la session è fatta in questa maniera anche se non si vede: Session("Dominio")("NomeSession")
matpez è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 13:14   #19
matpez
Senior Member
 
L'Avatar di matpez
 
Iscritto dal: Aug 2002
Città: Biella
Messaggi: 1882
Ah dimenticavo che le varibili di Sessione sono solo sul server e non vengono mandati e spediti dal tuo Browser, ma solo lette se mandate ma nn sono mai scritte, cioè se tu in un linguaggio dinamico per web vuoi impostare una session nn è che premendo il bottone si imposta ma al massimo devi refreshare la pagina o addirittura andare su una pagina nuova.

Gli unici modi per potere scrivere una variabile session non voluta sono questi:

1· Accesso FTP e possibilità di uppare una pagina worm che utilizza per leggere e scrivere le varibili!!

2· Premetto che forse ci sono 100 persone al mondo in grado di farlo ma nn vengono a rompoere le palle a te perchè puntano + in alto: Bucare i firewall del server, connettersi con un programma ad una falla del sistema operativo (Vedi per esempio il Blaster Worm) e andare a leggere le variabili allocate nella RAM del server....forse un po' da cinema come pensata, ma cmq qlc è capace a farlo, diciamo che se però lo fa questo qlc starà ancora poco in circolazione!
matpez è offline   Rispondi citando il messaggio o parte di esso
Old 30-09-2003, 19:14   #20
cionci
Senior Member
 
L'Avatar di cionci
 
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
Quote:
Originariamente inviato da matpez
Ah dimenticavo che le varibili di Sessione sono solo sul server e non vengono mandati e spediti dal tuo Browser, ma solo lette se mandate ma nn sono mai scritte,
Infatti... L'unica cosa che passa dal browser verso il server sono i dati passati tramite POST e GET... Diversamente dai cookies, le variabili di sessione non vengono inviate al server per ogni pagina visualizzata... L'unica cosa inviata dal client verso il server è il sessionid che viene inviato tramite cookie o tramite get...che io sappia il sessionid dovrebbe codificare in qualche modo anche l'indirizzo ip sorgente... In questo modo se l'indirizzo ip sorgente della richiesta non corrisponde all'indirizzo ip codificato nel sessionid allora la richiesta non è valida...
Quindi:
- il sessionid è univoco
- il sessionid non può essere spoofato
- le variabili di sessione risiedono sul server
cionci è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Peugeot Polygon Concept: ecco il futuro delle utilitarie Peugeot Polygon Concept: ecco il futuro delle ut...
Reno16 Pro: il compatto di OPPO punta su fotocamera da 200MP e il nuovo Bubble! La recensione Reno16 Pro: il compatto di OPPO punta su fotocam...
 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco Hisense 55U7SE: tuttofare e accessibile, il Min...
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Kindle Scribe Colorsoft: riduce le cornici e div...
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint L'IA cambia tutte le regole della sicurezza tra ...
Apple potrebbe aver sospeso il progetto ...
Nintendo non seguirà l'esempio di...
Motorola ha lanciato un'app dedicata all...
Cyberpunk 2077 non si ferma e raggiunge ...
Samsung alza ancora i prezzi delle memor...
4 sconti tutti nuovi riscrivono la TOP 1...
Portatile HP con Intel Core Ultra 7 155H...
Smart TV Haier 50'' 4K crolla a 225,99€ ...
Google Pixel 10a a 399€ o 497€ (256GB) c...
Compare dal nulla e blocca lo schermo: c...
Tornano i super prezzi Nikon su Amazon, ...
Compatto, leggerissimo (1,2Kg), ma con 3...
Privacy Display per tutti i Galaxy S: Sa...
Le migliori cuffie in offerta su Amazon ...
SpaceX Starship: Ship 40 ha eseguito un ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 00:54.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v