.: HosiriS :.

Informatica e non solo

Usiamo l’user-agent per il controllo degli accessi

Posted by hosiris su febbraio 12, 2011

Quando si scrivono le direttive per apache, non si è mai certi del fatto che si stia facendo il massimo per aumentare la sicurezza.
Il piccolo tip che propongo permette di utilizzare le informazioni che il browser invia ai web server, in particolare lo user-agent, come parametro di controllo.
All’interno delle direttive delle directory che vogliamo rendere sicure aggiungiamo le seguenti righe:

SetEnvIf User-Agent some ok=1
Order deny,allow
Deny from all
Allow from env=ok

In pratica stiamo dicendo ad apache di controllare lo user-agent… se corrisponde a “some” allora imposta una variabile (ok).
Ma adesso vi chiederete: come può un browser modificare questa informazione?
Firefox ha una estensione molto interessante che si chiama “user-agent switcher” che ci permette di creare degli header appropriati, permettendoci di sfruttare questa funzione.
Attenzione, non credete che con questo siete al sicuro. E’ un piccolo scoglio, ma può essere evitato, quindi usatelo con cautela e soprattutto evitate di usare user-agent prevedibili (ad esempio Pippo).
Anche wget permette di cambiare lo user-agent tramite il parametro “-U”.

Buon divertimento!

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

 
%d blogger cliccano Mi Piace per questo: