Blog e pagine riservate protette da javascript anche con javascript spento?
Author: Fabio B.
Visited 1881,
Followers 1,
Shared 0
In questo sito:
http://prove.bottegadelwebmaster.com
ho inserito un blog protetto da login nella pagina
http://prove.bottegadelwebmaster.com/iframe-blogwsx5.php
con una protezione javascript applicabile anche a qualsiasi pagina riservata.
La mia domanda è: perchè se nelle impostazioni del browser disattivo gli javascript le mie pagine riservate continuano a rimanere protette?
Posted on the
Author
Eppure chi conosce il programma può ancora indirizzarsi direttamente alla pagina del blog.
Non si può rinominare in qualche modo a piacere quella cartella?
Protezione JS?
Mhmmmm, c'è sicuramente qualcosa che mi sfugge...
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Author
Ciao Lemo. Per accedere: ID= user1; pwd= user1
La pagina-7.php l'ho settata nella sezione esperto per non farla comparire nella sitemap.
L'unico problema che rimane è il percorso standard e non personalizzabile per il blog; bisognerebbe poter scegliere un nome arbitrario per la cartella come si può fare per i commenti dei guestbooks.
Ripeto: che c'entra JS in tutto questo?
Poi:
http://answers.websitex5.com/post/42623#4
Che cosa hai sperimentato di "nuovo"?
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Author
L'ho letto nel riquadro in cui sto scrivendo dopo aver rinfrescato la pagina; ho appena provato ad inserirlo nella sez. head del sito ma non mi sembra che sia cambiato niente. Comunque dal sito per le prove ho solo cancellato un po' di rumenta che nel precedente tentativo mi aveva fatto fare confusione; ho inserito il link per il logout nel menù ed ho anche sperimentato la protezione antiscavalcamento nelle normali pagine protette.Author
Author
ho capito, non c'entrava niente; me lo ha generato il forum che non lo fa comparire; lo vado a togliere dal sito
Author
se ti logghi puoi vedere lo javascript da te stesso
Author
Capito il mistero: lo javascript non mi proteggeva proprio niente; era la normale protezione di WSX5 a fare il suo lavoro. Lo script che avevo inserito io per essere efficace andava associato, credo, con un altro file contenente una libreria esterna di utenti autorizzati e con un modulo di login proprio. Mi sembrava troppo bello...
Author
Comunque il codice che avevo inserito era questo:
<script type="text/javascript">
<!--
if (parent.frames.length==0)
[removed].replace("http://prove.bottegadelwebmaster.com/imlogin.php")
//-->
</script>
Fabio, con JS "proteggi" solo lato client.
Il codice che ho visto è identico a questo:
http://answers.websitex5.com/post/33938#24
... che Answers ha potato ed aggiunto [removed]
... che tu evidentemente hai ricopiato da Answers
... che al mercato mio padre comprò
Scusa la battuta, mi è venuta spontanea
Credo che nei vari post che ho letto (soprattutto quelli di Serzio), hai avuto consigli e avvertimenti utili ma sperimentare fa sempre bene
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Oops, non ho aggiornato la pagina prima di inviare ma va bene così
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Author
No, il codice l'ho preso da un pdf relativo ad un altro package che non cito per non far finire anche questo post nell'oblio del limbo di Answer.
Ho cercato di adattarlo io pasticciando da profano per farlo lavorare insieme al modulo di gestione accessi di WSX5.
Se vuoi saperne di più scrivimi alla mia email.
Appunto
http://www.webalice.it/lemonsong/js_blog.png
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Author
ma leggendo il codice in foto ti suggerisce qualche idea per modificarlo secondo le mie intenzioni? Sarebbe una conquista vantaggiosa anche per WSX5...no?
Non riesco a capire dove volete arrivare con il presente topic. Con il JS non è possibile proteggere in alcun modo l'accesso ad una pagina se non utilizzando un sistema di critazione del codice che però è una gran porcheria in quanto l'intero codice si trova sul lato client ... e quindi quel che si vuol fare è non fattibile "a prescindere".
http://www.unofficialwsx5.com
"Volete"?
Ripeto: che c'entra JS in tutto questo?
Fabio, con JS "proteggi" solo lato client.
Comunque non credo che Fabio molli così facilmente, ogni tanto ritornerà alla carica
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Si, tu l'avevi già detto ed hai ragione, ma c'e' ben poco di tornare alla carica su questo argomento .... è così e basta.
http://www.unofficialwsx5.com
Author
Ok, questo aspetto che per voi era scontato io lo sto imparando adesso e ne prendo atto; ma come si può fare la stessa cosa intervenendo lato server? Idee?
In realtà c'e' un metodo che questa sera, chattando con Stesil e Lemonsong, è tornato alla memoria ... ne avevamo parlato su http://www.unofficialwsx5.com/index.php?topic=554.0 ed in effetti non è malvagia come idea anche se con qualche controindicazione ... chissà se la pantera rosa è disposta a rispolverare la vecchia discussione.
A parte questo sistema, c'e' il più classico metodo del session_start() in php che però presuppone qualche piccola competenza di programmazione. In fin dei conti è lo stesso sistema usato da website, solo che viene implementato tramite inclusione di diversi files che andrebbero modificati in quanto contenenti riferimenti a "posizioni" diverse. Insomma, fattibile, ma c'e' da perderci un po' di tempo ... si fa prima a rifarlo da capo, secondo me.
http://www.unofficialwsx5.com
Author
Non mi sono spiegato: con htaccess si preclude l'accesso all'intero dominio/sottodominio, giusto?
Il problema è riservare l'accesso al blog e basta. Forse l'unica è il php
Perchè dici ciò?
http://www.serzio.it/evo9/bloghtaccess
Sicuramente l'uso del php è la soluzione migliore, ma anche questa mezza "toppa" funziona.
http://www.unofficialwsx5.com
Author
Scusa Serzio, ma con questo sistema si può fare anche il logout senza cancellare la cache del browser?
Author
ragazzi ce l'ho fatta usando solo WSX5; però non riesco ad aumentare l'altezza dell'iframe:
http://prove.bottegadelwebmaster.com/index.html
In che senso?!?! Non capisco cosa tu abbia ottenuto:
http://prove.bottegadelwebmaster.com/blog/
Ci entri anche senza validazione.
http://www.unofficialwsx5.com
Author
Ciao Serzio; rinfresca la tua cache...
Nel link del logout:
blogprivato.bottegadelwebmaster.com/res/imlogout.php
... si può "intuire" dove hai il vero blog:
blogprivato.bottegadelwebmaster.com/blog/
... senza protezione.
Sei su server Apache perché non provi quello che ti ha detto Serzio, visto che:
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Oops, scusa Silver, ho letto prima qui
Questo l'ho letto ora:
http://answers.websitex5.com/post/42623#6
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Author
Ciao Lemo, ciao Silver: mi sono scolato la birra troppo presto!!!
x Lemo:
Author
ancora per Lemo e per Serzio:
http://answers.websitex5.com/post/29745
" non dovrebbe scontrarsi con la limitazione d'accesso del file htaccess?" Quale limitazione di accesso? Sei sicuro che ce ne sia una? Sei sicuro che si tratti di una limitazione di accesso? E sei sicuro che la limitazione sia attivabile solo su alcuni file php piuttosto che altri e che soprattutto sia attiva su file di cui non ne conosci il nome pur consentendo l'accesso agli altri? Con il FilesMatch puoi facilmente inibire l'accesso ai files con determinate estensioni o con dei nomi specifici, ma a meno che tu non sia in grado di realizzare una espressione regolare che "separi" i file allegati (e quindi con nomi non prevedibili a meno della struttura con nomefile_aaaammgghhmmssxxxxxx.ext) da quelli del sito ... la vedo dura ... forse fattibile, ma difficile ... sarebbe già meglio se gli allegati venissero inseriti in una cartella separata da tutto il resto. Inoltre dobbiamo anche ricordare che le cose più si fanno difficili e maggiore è la probabilità che ci sia qualcosa di sbagliato.
Allora il mio pensiero è che forse, piuttosto che studiare un .htaccess che possa andar bene, ammesso che ci sia, è sicuramente meglio risolvere il problema a monte, mascherando l'estensione.
Sono lusingato che tu scriva il mio nick vicino a quello di Serzio ma io sono solo un semplice smanettone e non credo nemmeno di aver capito la questione: lì si parla di un exploit, tu devi/dovresti solo provare a proteggere una cartella.
Serzio provvederà sicuramente a "diradare la nebbia" (pure la mia eh?)
_______ oltre il 5° step ________
http://www.unofficialwsx5.com
Come detto da lemonsong ...
http://blogprivato.bottegadelwebmaster.com/blog/
quasi quasi .... ci rinuncio. Puoi fare i tripli salti mortali con avvitamento con iframe e js e quant'altro .... ma il risultato non cambia.
In effetti sentivo la mancanza anche di un sano e robusto cross-posting.
ancora per Lemo e per Serzio:
http://answers.websitex5.com/post/29745
" non dovrebbe scontrarsi con la limitazione d'accesso del file htaccess?" ...
Sinceramente mi sono perso. Cosa c'entra quell'exploit, causato dall'errata terminazione di un if-then a cui mancava un else, con l'htaccess e con il tuo problema? Boh. Questo rimarrà, per me, un mistero.
L'htaccess, premettendo che funziona solo su linux e che per farlo funzionare anche su win occorrono packages aggiuntivi (di dubbia solidità) che non installerà mai nessuno o quasi, è un sistema che serve a dare alcune direttive "personalizzate" all'apache web server in funzione della posizione in cui viene inserito. Non per niente si parla di configurazione distribuita. Il sistema per proteggere una o più pagine in maniera corretta è quello di sfruttare le variabili di sessione. Punto.
Mi sono accorto di averti già risposto in maniera abbastanza dettagliata su http://answers.websitex5.com/post/29745#23
Non so se sei disposto ad accettare un consiglio da uno sconosciuto , ma ... ti consiglio di prenderti un po' di tempo per studiare la pagina di php che parla del comando session_start() leggendo anche gli esempi. In un paio d'ore al massimo potresti essere in grado di proteggere il tuo blog in maniera, se non ottimale, sicuramente più che adeguata allo scopo e lasciando perdere l'htaccess il cui scopo è ben altro che quello di proteggere le directory. La tua domanda potrebbe essere: "allora, perchè l'hai nominato?". L'ho nominato per dovere di cronaca. E' uno strumento che esiste ed è utilizzabile, ma se devo piantare un chiodo al muro, non uso un bicchiere di vetro per batterci sopra se non con le dovute precauzioni ed attendendomi risultati probabili ben immaginabili.
http://www.unofficialwsx5.com
Errata Corrige.
Nel post precedente ho erroneamente attribuito la causa dell'exploit ad un if-then-else ... non avevo letto attentamente a quale topic Fabio si fosse riferito ed ho pensato che fosse quello del grave bug sulla gestione delle aree riservate .... per inciso, stiamo ancora aspettando la patch promessa per la versione 8 che mi sembra che sia ancora commercializzata ... con il problema incluso nel prezzo .... ehm ... senza costi aggiuntivi ... ma affrettatevi poichè l'offerta potrebbe scadere da un momento all'altro.
A parte gli scherzi, il problema riferito nel topic precedente era causato dalla gestione superficiale dei nomi attribuiti agli allegati alle email.
Entrambi i bachetti sono attualmente risolti per la versione 9, mentre il primo permane nella 8 e non ho effettuato test per il secondo.
http://www.unofficialwsx5.com
Author
Sì, d'accordo Serzio. Ho riportato quella citazione perchè intendevo dire che, a prescindere dal propblema specifico di quell'altro topic, mi sembrava di aver capito dalle tue parole che per ottenere una efficace limitazione di accesso il file .htaccess, anche disponendo di un Apache, potesse essere un palliativo. Forse avevo frainteso.
In effetti in questo topic mi hai pubblicato un esempio perfettamente funzionante che mi ha convinto che allora non era così sballata l'ipotesi che avevo lanciato in quel topic.
E poi c'è però l'altra domanda che ho fatto: col metodo di .htaccess si può fare anche il logout?
Grazie
No. Non esiste un metodo per fare il logout .... nel mio esempio su http://www.serzio.it/evo9/bloghtaccess ho usato un trucco che simula un logout, ma è una cosa che fa letteralmente pena. Ho sfruttato il trucchetto di far eseguire un nuovo login con un utente non esistente ed è l'unico metodo per aggirare l'ostacolo.
La riga i questione è la seguente da inserire post-editando il file index.php direttamente nella cartella del blog:
Ma fammi capire, tu vuoi proteggere l'intero blog oppure solo l'inserimento dei commenti lasciando il blog visibile?
http://www.unofficialwsx5.com
Author
Troppi OT: nuovo post
http://answers.websitex5.com/post/46018