Olimpo Informatico

[fekir]

ciao a tutti, riapro un attimo questa discussione


alla fine ho deciso di usare il php (mi son fatto dare un manuale da un mio amcio, non è tanto difficile)
non è che mastichi proprio bene questo linguaggio, ma capisco quello che devo fare e via dicendo.

Dal momento che però lo sto imparando volendo fare una cosa specifica, speravo di accellerare un poco il procedimento...

come avevo gia formulato all'inizio, ero interessato a programmare un sito, dove ci fosse la possibilità di iscriversi (quindi nome utente e pass) (chiaramente ogni utente dovrebbe avere poi una propria pagina...)


sapete dove possa trovare qualche script da scaricare (e studiare) o delle istruzioni? io non ne ho trovate

inoltre volevo chiedere, come si facesse a garantire la sicurezza di un sito con account, che non venga cancellato da altri, che sia sicuro la zona protetta da pass e cosi via, cioè, differisce solo dal linguaggio o cosa?

vi ringrazio in anticipo

[freemind]

Iniziamo con il discorso della registrazione.
Dovresti magari dirci più o meno come vorresti che il processo avvenga.
Mi spiego meglio: vuoi che una persona venga sul tuo sito, clicchi "registrati" e dopo aver inserito le info che chiedi, compresi user e pwd riceva una mail di conferma? La prima password la sceglie l'utente o viene generata dal sistema e spedita con la conferma o addirittura con una seconda mail? Puoi anche prevedere la registrazione in automatico.

Tieni conto di una cosa importantissima: il disclaimer. Cerca in giro e preparane uno che non ti metta in difficoltà in caso di polemiche. Non proporre roba del tipo: "I vostri dati verranno trattati nel modo che il gestore del sito ritiene più oppurtuno" perchè è come dire: "io con le tue cose faccio quello che mi pare" perchè, ammesso che legalmente si possa fare un contratto del genere, nessuno si iscriverà.
Se devi immagazzinare dati sensibili allora dovrai provvedere alla messa in sicurezza del db così da evitare il più possibile l'eventuale furto delle informazioni.


Una volta che uno è registrato...
... c'è il login.
Se non scegli l'https (e potrebbe anche non essere un problema), tieni presente che i dati passarenno in chiaro dal client al server. Su internet, sniffare un pacchetto è difficile, quindi a meno che tu non faccia eseguire transazioni bancarie o cose così puoi anche evitare l'ssl. Al massimo con un barbatrucco puoi far sì che la password non venga mai passata tra il client e il server (lo user sì però) così da rendere la cosa un po' più sicura (a meno del processo di registrazione se scegli di non spedire tu la prima password all'utente).

Sicurezza
Qui il discorso è molto vasto.
Puoi pensare di cifrare i dari sul db anche rischi di segarti le gambe nel caso di interfacciamenti di terzi verso di te.
Poi fondamentale è la configurazione del web server e qui dovremmo aprire un post lunghissimo sul come blindare apache (o quello che usi).
Tieni conto che se ti appoggi ad un hosting standard, questo bene o male è già di per se configurato in modo abbastanza buono (parlo di webserver).

Sarebbe il caso, senza entrare in troppi dettagli, che spiegassi più o meno che cosa vorresti fare con questo sito così magari ci chiariamo un po' meglio le idee tutti e potremmo consigliarti.

Ultima cosa: per il processo di login e autenticazione cerca come argomenti le sessioni.

[fekir]

allora, in quanto alla regitrazione...

avevo pensato qualcosa simile ad un forum, clicchi su registra, vai alla pagina, inserisci username, password, ripeti password, e mail

sarebbe chiaramente bello poter cancellare il proprio account (che sia io a farlo o attraverso qualche opzione) e che l'utente cambi la propria password o possa richiederla se se ne è dimenticato(fornendo username e mail)...

riguardo la sicurezza:
utilizo xampp, ma fa differenza? se uploado (per esempio con filezilla o manualmente) quello che ho scritto in php in internet cosa importa se ho usato apache o qualcos'altro per vedere se funzionava? (oppure non ho ancora capito al 100% per cosa lo posso usare...)

grazie per il consiglio per la ricerca, domani cerco di nuovo

[freemind]

Sul discorso di registrazione, login etc... in questi giorni magari proviamo insieme a metter giù qualche cosa.

Il discorso su xampp non mi è chiaro.
Tu in locale fai il sito e usi alcune tecnologie. Poi è vero che magari online c'è un webserver diverso etc, però se vuoi poter arrivare a blindare il webserver devi poter mettere le mani sulla conf online.
Un conto è usare un servizio che ti offre l'accesso tramite un pannello che ti limita in certe cose e un conto è avere l'accesso "secco" al server, di fatto come se fosse il tuo.
Un esempio scemo: se l'utente del tuo sito ha la possibilità di caricare i files questi finiranno in una dir che è raggiungibile via web o puoi configurare in qualche modo il webserver in modo che impedisca il download diretto dei files (ovviamente se sei interessato a impedirlo) e quindi nessuno potrà scaricare nulla senza passare da un'eventuale interfaccia da te creata oppure questi files saranno sempre accessibili.
Questo è solo un esempio scemo per rendere l'idea.