WebSite X5Help Center

 
Fabio B.
Fabio B.
User

Blog e pagine riservate protette da javascript anche con javascript spento?  it

Autor: Fabio B.
Besucht 1876, Followers 1, Geteilt 0  

In questo sito:

http://prove.bottegadelwebmaster.com

ho inserito un blog protetto da login nella pagina

http://prove.bottegadelwebmaster.com/iframe-blogwsx5.php

con una protezione javascript applicabile anche a qualsiasi pagina riservata.

La mia domanda è: perchè se nelle impostazioni del browser disattivo gli javascript le mie pagine riservate continuano a rimanere protette?

Gepostet am
36 ANTWORTEN - 2 NüTZLICH - 1 KORREKT
Fabio B.
Fabio B.
User
Autor

Eppure chi conosce il programma può ancora indirizzarsi direttamente alla pagina del blog.

Non si può rinominare in qualche modo a piacere quella cartella?

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

Ciao Lemo. Per accedere: ID= user1; pwd= user1

La pagina-7.php l'ho settata nella sezione esperto per non farla comparire nella sitemap.

L'unico problema che rimane è il percorso standard e non personalizzabile per il blog; bisognerebbe poter scegliere un nome arbitrario per la cartella come si può fare per i commenti dei guestbooks.

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor
Sei tu che stavi digitando questo codice:


L'ho letto nel riquadro in cui sto scrivendo dopo aver rinfrescato la pagina; ho appena provato ad inserirlo nella sez. head del sito ma non mi sembra che sia cambiato niente. Comunque dal sito per le prove ho solo cancellato un po' di rumenta che nel precedente tentativo mi aveva fatto fare confusione; ho inserito il link per il logout nel menù ed ho anche sperimentato la protezione antiscavalcamento nelle normali pagine protette.
Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor
il codice era questo:


Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

ho capito, non c'entrava niente; me lo ha generato il forum che non lo fa comparire; lo vado a togliere dal sito

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

se ti logghi puoi vedere lo javascript da te stesso

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

Capito il mistero: lo javascript non mi proteggeva proprio niente; era la normale protezione di WSX5 a fare il suo lavoro. Lo script che avevo inserito io per essere efficace andava associato, credo, con un altro file contenente una libreria esterna di utenti autorizzati e con un modulo di login proprio. Mi sembrava troppo bello...

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

Comunque il codice che avevo inserito era questo:

<script type="text/javascript">
<!--
if (parent.frames.length==0)
[removed].replace("http://prove.bottegadelwebmaster.com/imlogin.php")
//-->
</script>

Mehr lesen
Gepostet am von Fabio B.
 lemonsong  
 lemonsong  
User

Fabio, con JS "proteggi" solo lato client.

Il codice che ho visto è identico a questo:

http://answers.websitex5.com/post/33938#24

... che Answers ha potato ed aggiunto [removed]

... che tu evidentemente hai ricopiato da Answers

... che al mercato mio padre comprò Laughing

Scusa la battuta, mi è venuta spontanea Smile

Credo che nei vari post che ho letto (soprattutto quelli di Serzio), hai avuto consigli e avvertimenti utili ma sperimentare fa sempre bene Wink

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von  lemonsong  
Fabio B.
Fabio B.
User
Autor

No, il codice l'ho preso da un pdf relativo ad un altro package che non cito per non far finire anche questo post nell'oblio del limbo di Answer.

Ho cercato di adattarlo io pasticciando da profano per farlo lavorare insieme al modulo di gestione accessi di WSX5.

Se vuoi saperne di più scrivimi alla mia email.

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

ma leggendo il codice in foto ti suggerisce qualche idea per modificarlo secondo le mie intenzioni? Sarebbe una conquista vantaggiosa anche per WSX5...no?

Mehr lesen
Gepostet am von Fabio B.
Serzio ©
Serzio ©
User

Non riesco a capire dove volete arrivare con il presente topic. Con il JS non è possibile proteggere in alcun modo l'accesso ad una pagina se non utilizzando un sistema di critazione del codice che però è una gran porcheria in quanto l'intero codice si trova sul lato client ... e quindi quel che si vuol fare è non fattibile "a prescindere".

http://www.unofficialwsx5.com

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von Serzio ©
 lemonsong  
 lemonsong  
User

"Volete"?

 lemonsong  
Protezione JS?
 lemonsong  

Ripeto: che c'entra JS in tutto questo?

 lemonsong  

Fabio, con JS "proteggi" solo lato client.

Comunque non credo che Fabio molli così facilmente, ogni tanto ritornerà alla carica Wink

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von  lemonsong  
Serzio ©
Serzio ©
User

Si, tu l'avevi già detto ed hai ragione, ma c'e' ben poco di tornare alla carica su questo argomento .... è così e basta. 

http://www.unofficialwsx5.com

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von Serzio ©
Fabio B.
Fabio B.
User
Autor

Ok, questo aspetto che per voi era scontato io lo sto imparando adesso e ne prendo atto; ma come si può fare la stessa cosa intervenendo lato server? Idee?

Mehr lesen
Gepostet am von Fabio B.
Serzio ©
Serzio ©
User
Fabio Bevilacqua
Ok, questo aspetto che per voi era scontato io lo sto imparando adesso e ne prendo atto; ma come si può fare la stessa cosa intervenendo lato server? Idee?

In realtà c'e' un metodo che questa sera, chattando con Stesil e Lemonsong, è tornato alla memoria ... ne avevamo parlato su http://www.unofficialwsx5.com/index.php?topic=554.0 ed in effetti non è malvagia come idea anche se con qualche controindicazione ... chissà se la pantera rosa è disposta a rispolverare la vecchia discussione. Wink

A parte questo sistema, c'e' il più classico metodo del session_start() in php che però presuppone qualche piccola competenza di programmazione. In fin dei conti è lo stesso sistema usato da website, solo che viene implementato tramite inclusione di diversi files che andrebbero modificati in quanto contenenti riferimenti a "posizioni" diverse. Insomma, fattibile, ma c'e' da perderci un po' di tempo ... si fa prima a rifarlo da capo, secondo me.

http://www.unofficialwsx5.com

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von Serzio ©
Fabio B.
Fabio B.
User
Autor

Non mi sono spiegato: con htaccess si preclude l'accesso all'intero dominio/sottodominio, giusto?

Il problema è riservare l'accesso al blog e basta. Forse l'unica è il phpCry

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

Scusa Serzio, ma con questo sistema si può fare anche il logout senza cancellare la cache del browser?

Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

Ciao Serzio; rinfresca la tua cache...Wink

Mehr lesen
Gepostet am von Fabio B.
 lemonsong  
 lemonsong  
User

Nel link del logout:

blogprivato.bottegadelwebmaster.com/res/imlogout.php

... si può "intuire" dove hai il vero blog:

blogprivato.bottegadelwebmaster.com/blog/

... senza protezione.

Sei su server Apache perché non provi quello che ti ha detto Serzio, visto che:

Fabio Bevilacqua
Il problema è riservare l'accesso al blog e basta.

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von  lemonsong  
Fabio B.
Fabio B.
User
Autor

Ciao Lemo, ciao Silver: mi sono scolato la birra troppo presto!!!

x Lemo:

Fabio Bevilacqua
Scusa Serzio, ma con questo sistema si può fare anche il logout senza cancellare la cache del browser?
Mehr lesen
Gepostet am von Fabio B.
Fabio B.
Fabio B.
User
Autor

ancora per Lemo e per Serzio:

http://answers.websitex5.com/post/29745

" non dovrebbe scontrarsi con la limitazione d'accesso del file htaccess?" Quale limitazione di accesso? Sei sicuro che ce ne sia una? Sei sicuro che si tratti di una limitazione di accesso? E sei sicuro che la limitazione sia attivabile solo su alcuni file php piuttosto che altri e che soprattutto sia attiva su file di cui non ne conosci il nome pur consentendo l'accesso agli altri? Con il FilesMatch puoi facilmente inibire l'accesso ai files con determinate estensioni o con dei nomi specifici, ma a meno che tu non sia in grado di realizzare una espressione regolare che "separi" i file allegati (e quindi con nomi non prevedibili a meno della struttura con nomefile_aaaammgghhmmssxxxxxx.ext) da quelli del sito ... la vedo dura ... forse fattibile, ma difficile ... sarebbe già meglio se gli allegati venissero inseriti in una cartella separata da tutto il resto. Inoltre dobbiamo anche ricordare che le cose più si fanno difficili e maggiore è la probabilità che ci sia qualcosa di sbagliato.

Allora il mio pensiero è che forse, piuttosto che studiare un .htaccess che possa andar bene, ammesso che ci sia, è sicuramente meglio risolvere il problema a monte, mascherando l'estensione.

Mehr lesen
Gepostet am von Fabio B.
 lemonsong  
 lemonsong  
User

Sono lusingato che tu scriva il mio nick vicino a quello di Serzio ma io sono solo un semplice smanettone e non credo nemmeno di aver capito la questione: lì si parla di un exploit, tu devi/dovresti solo provare a proteggere una cartella.

Serzio provvederà sicuramente a "diradare la nebbia" (pure la mia eh?) Wink

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von  lemonsong  
Serzio ©
Serzio ©
User
Fabio Bevilacqua
Ciao Serzio; rinfresca la tua cache...

Come detto da lemonsong ... 

http://blogprivato.bottegadelwebmaster.com/blog/

quasi quasi .... ci rinuncio. Puoi fare i tripli salti mortali con avvitamento con iframe e js e quant'altro .... ma il risultato non cambia.

 lemonsong  
Oops, scusa Silver, ho letto prima qui Questo l'ho letto ora: http://answers.websitex5.com/post/42623#6

In effetti sentivo la mancanza anche di un sano e robusto cross-posting. Wink

Fabio Bevilacqua

ancora per Lemo e per Serzio:

http://answers.websitex5.com/post/29745

" non dovrebbe scontrarsi con la limitazione d'accesso del file htaccess?" ...

Sinceramente mi sono perso. Cosa c'entra quell'exploit, causato dall'errata terminazione di un if-then a cui mancava un else, con l'htaccess e con il tuo problema? Boh. Questo rimarrà, per me, un mistero. Laughing

L'htaccess, premettendo che funziona solo su linux e che per farlo funzionare anche su win occorrono packages aggiuntivi (di dubbia solidità) che non installerà mai nessuno o quasi, è un sistema che serve a dare alcune direttive "personalizzate" all'apache web server in funzione della posizione in cui viene inserito. Non per niente si parla di configurazione distribuita. Il sistema per proteggere una o più pagine in maniera corretta è quello di sfruttare le variabili di sessione. Punto.

Mi sono accorto di averti già risposto in maniera abbastanza dettagliata su http://answers.websitex5.com/post/29745#23

Non so se sei disposto ad accettare un consiglio da uno sconosciuto Wink, ma ... ti consiglio di prenderti un po' di tempo per studiare la pagina di php che parla del comando session_start() leggendo anche gli esempi. In un paio d'ore al massimo potresti essere in grado di proteggere il tuo blog in maniera, se non ottimale, sicuramente più che adeguata allo scopo e lasciando perdere l'htaccess il cui scopo è ben altro che quello di proteggere le directory. La tua domanda potrebbe essere: "allora, perchè l'hai nominato?". L'ho nominato per dovere di cronaca. E' uno strumento che esiste ed è utilizzabile, ma se devo piantare un chiodo al muro, non uso un bicchiere di vetro per batterci sopra Wink se non con le dovute precauzioni ed attendendomi risultati probabili ben immaginabili.

http://www.unofficialwsx5.com

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von Serzio ©
Serzio ©
Serzio ©
User

Errata Corrige. 

Nel post precedente ho erroneamente attribuito la causa dell'exploit ad un if-then-else ... non avevo letto attentamente a quale topic Fabio si fosse riferito ed ho pensato che fosse quello del grave bug sulla gestione delle aree riservate .... per inciso, stiamo ancora aspettando la patch promessa per la versione 8 che mi sembra che sia ancora commercializzata ... con il problema incluso nel prezzo .... ehm ... senza costi aggiuntivi Laughing ... ma affrettatevi poichè l'offerta potrebbe scadere da un momento all'altro. Laughing

A parte gli scherzi, il problema riferito nel topic precedente era causato dalla gestione superficiale dei nomi attribuiti agli allegati alle email.

Entrambi i bachetti sono attualmente risolti per la versione 9, mentre il primo permane nella 8 e non ho effettuato test per il secondo.

http://www.unofficialwsx5.com

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von Serzio ©
Fabio B.
Fabio B.
User
Autor

Sì, d'accordo Serzio. Ho riportato quella citazione perchè intendevo dire che, a prescindere dal propblema specifico di quell'altro topic, mi sembrava di aver capito dalle tue parole che per ottenere una efficace limitazione di accesso il file .htaccess, anche disponendo di un Apache, potesse essere un palliativo. Forse avevo frainteso.

In effetti in questo topic mi hai pubblicato un esempio perfettamente funzionante che mi ha convinto che allora non era così sballata l'ipotesi che avevo lanciato in quel topic.

E poi c'è però l'altra domanda che ho fatto: col metodo di .htaccess si può fare anche il logout?

Grazie Foot in mouth

Mehr lesen
Gepostet am von Fabio B.
Serzio ©
Serzio ©
User
Fabio Bevilacqua
... E poi c'è però l'altra domanda che ho fatto: col metodo di .htaccess si può fare anche il logout? Grazie

No. Non esiste un metodo per fare il logout .... nel mio esempio su http://www.serzio.it/evo9/bloghtaccess ho usato un trucco che simula un logout, ma è una cosa che fa letteralmente pena. Ho sfruttato il trucchetto di far eseguire un nuovo login con un utente non esistente ed è l'unico metodo per aggirare l'ostacolo.

La riga i questione è la seguente da inserire post-editando il file index.php direttamente nella cartella del blog:

Ma fammi capire, tu vuoi proteggere l'intero blog oppure solo l'inserimento dei commenti lasciando il blog visibile?

http://www.unofficialwsx5.com

http://www.unofficialwsx5.com

Mehr lesen
Gepostet am von Serzio ©