Proteggere i cookie

max_400

Utente Attivo
23 Gen 2009
770
0
16
caltanissetta
max400.forumfree.it
Ciao a tutti vado subito al punto.

Se costruisco una chat su altervista e voglio mettere a disposizione i cookie
cioè la possibiltà di conservare il proprio username e password per evitare
di scriverlo nuovamente ogni volta che si entra in chat.

Esiste un trucchetto javascript (che preferisco non pubblicarlo) in cui il pirata
tramite un "link trappola" riesce a rubare i cookie e quindi la password edell'utente
e può scrivere a nome di quel povero Pollo che ha cliccato sul suo link.

Tale stratagemma viene chiamato XSS cross site qualkosa del genere.

Domanda: Come faccio a disabilitare javascript nella mia pagina web?
esiste qualke script?

Grazie per l'attenzione...onorevoli!
Aspetto risposta.

by max_400
 

alessandro1997

Utente Attivo
6 Ott 2009
5.302
1
0
26
Roma
alessandro1997.netsons.org
La soluzione non è disabilitare Javascript nella tua pagina Web (anche perché non si può fare), ma effettuare l'escape dell'input proveniente dall'utente, così che non si possano lanciare attacchi XSS. Una soluzione veloce:
PHP:
foreach ($_POST as $key => $value) {
    $_POST[$key] = htmlspecialchars($value);
}

foreach ($_GET as $key => $value) {
    $_GET[$key] = htmlspecialchars($value);
}
Mettilo in un file che includerai all'inizio di ogni script PHP.

Inoltre non dovresti memorizzare username e password in un cookie, ma nel cookie dovresti memorizzare l'ID di sessione dell'utente, e poi salvare i dati associati a quell'ID in un database.
 

max_400

Utente Attivo
23 Gen 2009
770
0
16
caltanissetta
max400.forumfree.it
Grazie Gighen...

intanto mi copio lo script e poi lo provo

da quello che mi sembra di intuire il tuo script
disabilita le stringhe $_GET e con htmlspecialchars
giusto?

qualsiasi cosa passa tramite indirizzo viene disabilitato?

più tardi provo
per quanto riguarda "l'ID di sessione dell'utente"
non ne ho idea...
io ho ancora conoscenze superficiali su php

Comunque grazie, a più tardi
by max_400
 

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
Il problema non è tanto il pericolo di XSS, quanto di rendere leggibili tramite cookie dei dati che dovrebbero rimanere segreti.
 

max_400

Utente Attivo
23 Gen 2009
770
0
16
caltanissetta
max400.forumfree.it
ahhhhhhhh!!! - il gatto mi ha graffiato la faccia...ed è scappato via !!!

quanto di rendere leggibili tramite cookie dei dati che dovrebbero rimanere segreti.
cosa intendi esattamente...

PS ho visto che si può fare benissimo anche con semplice php
basta far passare il nomeutente o meglio la pssword attraverso la stringa dell'indirizzo
è semplicissimo...
il Pollo deve semplicemente cliccare sul "link trappola" per ritrovarsela infilata nel c--

Comunque in tuttii miei lavori ho disabilitato i link anzi tutti i tag con htmlspecialchars
ma se un domani volessi metterli... qui sorge il problema..
e lo script di Gighen risolverebbe tutto.

Grazie per i vostri suggerimenti e consigli
by max_400

a dopo
 

max_400

Utente Attivo
23 Gen 2009
770
0
16
caltanissetta
max400.forumfree.it
bò... non mi funziona

foreach ($_POST as $key => $value) {
$_POST[$key] = htmlspecialchars($value);
}

foreach ($_GET as $key => $value) {
$_GET[$key] = htmlspecialchars($value);
}

l'ho messo direttamente nelle pagine php e non và
riesco a trasferire nome utente e password
sia in javascript e anche in php
 

max_400

Utente Attivo
23 Gen 2009
770
0
16
caltanissetta
max400.forumfree.it
Ti ho mandato un messaggio privato col trucchetto javascript

Non posso pubblicarlo qui per non fornire
materiale delinquenziale ai lamer

Se non riesco a risolvere questo problema
non posso utilizzare i cookie e neanche
mettere link in una chat
 
Discussioni simili
Autore Titolo Forum Risposte Data
otto9due Proteggere una cartella e file con password tramite .htaccess e .htpasswd Web Server 0
otto9due Proteggere file caricati dall'esterno ma renderli accessibili per gli utenti loggati. PHP 4
R [c#] Proteggere il codice dell'applicazione C/C++ 0
S [PHP] proteggere pagine PHP 10
B Proteggere cartella Apache ma non le sottocartelle!!! Apache 0
anton Proteggere un file con htaccess Apache 0
anton Proteggere un file su host HTML e CSS 9
S proteggere download dei file PHP 7
M proteggere un file testuale da accesso diretto PHP 4
G Proteggere le tabelle in access MS Access 0
P Sistema migliore per proteggere le immagini? Discussioni Varie 8
A Proteggere Cartella con .htaccess su Xoom.it Web Server 2
M Proteggere PHP PHP 4
Jam1 proteggere foto con watermark da accessi tramite $_GET[''] PHP 16
max_400 Proteggere login con autenticazione database PHP 19
maurodefilippis Software Per DRM per proteggere pdf ed epub Windows e Software 1
C Proteggere file sul server Apache 2
asevenx proteggere dati con password sicura PHP 8
max_400 Nascondere indirizzo o visualiz. un altro oppure Proteggere pagina php ricevente PHP 6
S [VB.NET] Proteggere le applicazioni .NET Framework 0
M [htaccess] Proteggere file con password Web Server 1
I proteggere le pagine internet PHP 25
M Proteggere più pagine con password PHP 12
R Proteggere una pagina di un sito con password PHP 23
G php - codice per proteggere le pagine PHP 10
M Proteggere un intero sito con .htaccess PHP 1
S Proteggere file e dati nel FTP Web Server 0
M come posso proteggere le mie immagini? Javascript 5
Z proteggere pagine Classic ASP 2
Maverick1000tt Proteggere pagina html HTML e CSS 2
M Proteggere una pagina con password usando ASP Classic ASP 6
C Come proteggere le immagini Webdesign e Grafica 1
D Proteggere immagini HTML e CSS 3
grottafelix Tutorial Asp: come proteggere le pagine Supporto Mr.Webmaster 6
peppoweb Proteggere PHP: guida passo passo PHP 0
A Consenso cookie Leggi, Normative e Fisco 0
seranto Blocco preventivo e Registro dei Consensi per Cookie tecnici? Leggi, Normative e Fisco 2
A Creazione cookie e gestione accessi PHP 0
B Privacy Policy e Cookie Policy Leggi, Normative e Fisco 1
J cookie iubenda Javascript 0
Tommy03 Problema durata cookie PHP 5
Y [Javascript] z-index popup accettazione cookie Javascript 1
W GDPR, Privacy, Policy, Cookie, cosa occorre? Leggi, Normative e Fisco 2
Shyson [PHP] Cookie si cancella prima PHP 7
O cookie e blocco preventivo Leggi, Normative e Fisco 0
C Blogger, privacy e cookie policy Leggi, Normative e Fisco 4
C Privacy e cookie policy EPN e ilgiardinodeilibri Leggi, Normative e Fisco 2
usura18 [PHP] Perdita contenuto cookie al reload della pagina PHP 6
simgia [PHP] Problema cookie PHP 1
N Come realizzare Cookie e Privacy Policy con Iubenda Leggi, Normative e Fisco 5

Discussioni simili