Sessioni PHP su host condiviso: sicure???

Sessioni PHP su host condiviso: sicure??? postato il 12/12/2008 23:28:16 nel forum programmazione, open source e hosting e modificato da proiet89 il 26/11/2009 22:20:02

Mi è sorto un dubbio.
Partiamo dal presupposto che le sessioni permettono di salvare i dati dell'utente che sta navigando nel nostro sito.

Ora: io non sono un programmatore professionista e magari sono in errore, ma per quanto ne so io, nel nostro server vengono salvati in una directory i dati dell'utente raccolti ed immagazzinati nella sessione. Se il mio sito è hostato in un server condiviso (come ad esempio il 95% delle land alla nostra sinistra), i dati di questa sessione possono essere letti da tutti gli script php che ci sono sul server, inclusi quelli altrui!!!
Qui mi rivolgo ai più esperti: non è pericoloso (in termini di sicurezza) tutto questo???

Se sono in errore e ho mal interpretato i procedimenti, chiedo scusa, ma mi preoccupa abbastanza l'avere un sito il più sicuro possibile e se ho dubbi di questo genere preferisco chiedere ai più esperti.

Grazie a tutti

13/12/2008 00:21:40

sinceramente, credo, che se fossero veramente così condivisi e facili da leggere l'avrebbero già fatto e buttato nel rudo tutta la struttura. Credo che dipenda da come viene configurato il server e, comunque, con alcune clausole puoi decidere tu dove salvare le sessioni :)

13/12/2008 01:13:35

rhllor ha scritto: sinceramente, credo, che se fossero veramente così condivisi e facili da leggere l'avrebbero già fatto e buttato nel rudo tutta la struttura. Credo che dipenda da come viene configurato il server e, comunque, con alcune clausole puoi decidere tu dove salvare le sessioni :)

Il fatto che non sia così semplice e che a seconda di come viene configurato il server aumentino le difficoltà nel compiere violazioni di questo tipo, non significa che le sessioni sono un operazione sicura (ok, è vero che nel web nulla è sicuro al 100% e tutto ha dei rischi... che vanno limitati il più possibile, però). Insomma, se il contenuto di una sessione è su un server che viene condiviso da altri, questi temo proprio che possano in qualche modo interagire con questi dati, mi pare fin troppo semplice, ma temo di non sbagliare: parliamo sempre della stessa macchina, in fondo.

Suvvia, non abbiamo qualche esperto di queste cose che può chiarirci le idee???

13/12/2008 01:34:31

Se avete qualche dubbio vi consiglio di dare un occhiata a questo articolo.http://www.siforge.org/articles/2003/11/10-guida_sessioni_php.html ↗

13/12/2008 11:28:26

Ringrazio per i chiarimenti. Ieri sera, spulciando su html.it, ho trovato un articolo che spiega una soluzione alternativa: creare una sessione con i dati dell'utente dentro il database. Ovvero, salvare i dati dentro una tabella anzichè in una sessione. Il mio dubbio, però è: in questo modo non vado ad eseguire un numero spropositato di query che rallentano il gioco notevolmente?? Qualcuno ha mai testato questo metodo "bizzarro"???

13/12/2008 12:19:31

quella del database è un'alternativa valida e ti permette tra l'altro di gestire meglio le sessioni, comunque puoi semplicemente impostare tu la cartella dove raccogliere i file di sessione, così che non sia accessibile da chi condivide il server con te:

ini_set("session.save_path","cartella che desideri");

13/12/2008 12:59:46

goph ha scritto: Testato e, dopo due ore, rimosso.
In termini di risorse è troppo dispendioso perchè, la comodità della sessione, sta proprio nel fatto di poterla utilizzare facilmente senza bisogno di aprire uno stream di dati da e verso un database.
La lettura da filesystem è, solitamente, più rapida inoltre..

Era proprio questa la mia preoccupazione: brucia troppe risorse.... più comode le sessioni. Penso che mi dedicherò alla ricerca sul web di matirale di ogni genere sul rafforzamento della sicurezza nelle sessioni.... magari poi le cose più interessanti le metto in un articolo.... in questo modo creiamo una risorsa consultabile da tutti!