Se si sviluppano siti internet utilizzando il
php, uno degli aspetti che sicuramente bisogna prendere in considerazione è quello riguardante la
sicurezza.
Molti siti web infatti, pur risultando gradevoli da vedere e comodi da utilizzare, potrebbero essere violabili da parte dei malintenzionati, i quali potrebbero addirittura entrare in possesso delle credenziali degli utenti del sito, o peggio ancora di quelle degli amministratori.
In questo tutorial, che aggiornerò man mano che scoprirò metodi più performanti per
aumentare la sicurezza di un sito internet, andrò ad indicare tutte le
best practice da applicare per poter avere siti php sicuri ed inviolabili... o quantomeno per aumentarne il grado di sicurezza, dato che si usa spesso dire che non esiste in natura niente che prima o poi non possa venir violato.
Iniziamo dunque con l'elenco delle attività da svolgere a livello di programmazione, ma anche di configurazione del
php.ini o di
apache /
nginx, o di database
mysql, per poter proteggere un sito web fatto in php ed aumentare il livello generale di
sicurezza informatica.
1) Controllare le variabili prima di fare le query
Se il proprio sito internet deve poter dialogare con un database, che sia mysql, oracle, sql server, o qualsiasi altro db, occorre fare il parsing delle variabili che si passano nelle query.
La maggior parte dei siti internet infatti, utilizza query dinamiche, con una parte di condice sql scritto in maniera fissa, al quale vengono passate 1 o più variabili, magari ricevute da una form (metodo POST) o da una url (metodo GET).
Per prevenire quello che viene chiamato
sql injection occorre dunque, prima di eseguire una query sul database, controllare le variabili che gli vengono passate.
Questo perchè se un malintenzionato modifica a mano una variabile inserendo un
apice ('), questa variabile può generare un errore nella query, e da lì il malintenzionato può capire che è possibile scrivere e far eseguire (utilizzando la giusta sintassi) del codice sql, andando addirittura a leggere o peggio ancora a cancellare l'intero database.
Per proteggersi dall'
sql injection quindi, bisogna controllare tutte le variabili che vengono passate ad una query.
Nel caso di numeri interi, basta convertirli con la funzione
intval, altrimenti bisogna aggiungere uno
slash agli apici presenti nella variabile, tramite la funzione php
addslashes.
Ecco un esempio di query sicura:
$sql="SELECT var FROM tabella WHERE var1=".intval($var1)." AND var2='".addslashes($var2)."'";
2) Controllare le variabili prima di stamparle a video
La seconda regola fondamentale da rispettare per evitare problemi con il proprio sito web, è quella di controllare le varabili prima di stamparle a video, soprattutto quelle che ci vengono fornite tramite browser.
Per evitare infatti di incappare nella vulnerabilità nota come
Cross-Site Scripting (
XSS), che consiste nella possibilità da parte di malintenzionati di far eseguire involontariamente all'utente del codice (tipicamente
javascript), occorre parsare le variabili prima di stamparle a video.
In questo caso specifico, quello che vogliamo evitare è che venga eseguito dell'html in variabili che di fatto non contemplano l'html, quindi basta utilizzare la funzione
htmlentities per rendere ineseguibile qualsiasi script a livello di browser.
Se poi la variabile in questione contempla l'html, magari possiamo decidere di far sparire solo qualche tag specifico, come lo
<script>, con una semplice
str_replace.
Ecco un'esempio pratico di queste due funzioni all'opera:
<?php
$var1="<script>alert('ciao');</script>";
$var1=htmlentities($var1);
$var2="<script>alert('ciao 2');</script>";
$var2=str_replace("<script>","",$var2);
$var2=str_replace("</script>","",$var2);
echo "$var1 $var2";
?>
3) Criptare le password salvate nel database
Sia per via della terribile GDPR, ma anche in generale in meri termini di sicurezza informatica, non bisogna
mai salvare le password in chiaro nel database.
A livello di php quindi, prima di salvare su mysql una password, occorre convertirla con qualche apposito algoritmo.
Così facendo, un malintenzionato che entrerà in qualche modo in possesso delle credenziali del nostro database, non potrà in alcun modo conoscere le password d'accesso memorizzate nel db.
Se poi vogliamo complicare ulteriormente la vita agli
hacker (o forse
crackers è meglio), prima di generare la nostra password criptata, possiamo aggiungere un valore random alla parola segreta scelta dall'utente, in modo che nessuno possa mai risalire alla password, anche se in possesso di un database di password criptate con cui fare
bruteforce.
Questo secondo metodo si chiama
salt, mentre la funzione per criptare le password in php è la
crypt.
La funzione crypt può essere utilizzata scegliendo vari algoritmi di criptazione, come ad esempio:
DES,
MD5,
SHA-256 e
SHA-512.
Ecco un semplice esempio di generazione di password criptata con il php:
<?php
$password="pippo";
$salt=rand(10000,99999);
$password=crypt($password,$salt);
echo $password;
?>
4) Cambiare la chiave di sessione dopo la login
Un errore comune e forse meno noto, quindi potenzialmente sfruttabile da qualche malintenzionato, è quello di non far
rigenerare un nuovo valore di chiave di sessione dopo la login ad un sito php.
Questa problematica, nota come
Session Fixation, può essere sfruttata dai malintenzionati che hanno accesso allo stesso pc della persona che si logga con la nostra applicazione, oppure da chi ha accesso alla rete ed è in grado di utilizzare la tecnica nota come
Man-in-the-Middle.
Praticamente funziona così.
Quando si prova ad accedere ad un sito web verificando il valore di una sessione, il php genera in maniera random il cosiddetto
PHPSESSID.
Purtroppo però, quando si effettua la login, questo valore di default non viene rigenerato, quindi se qualche malintenzionato riesce ad ottenere questo valore semplicemente aprendo (dal pc della vittima) l'applicazione senza loggarsi, quando poi questa si logga, il malintenzionato può usare questo session id per risultare loggato con le credenziali della vittima.
Per evitare questa (abbastanza remota) problematica, basta
rigenerare il sessionid dopo ogni login, in modo tale che nessuno possa sapere il valore della nostra sessione.
Per fare ciò in php basta utilizzare la funzione
session_regenerate_id.
Ecco un esempio pratico di come rigenerare una sessione php:
<?php
session_start();
echo session_id();
session_regenerate_id();
echo "<br>".session_id();
?>
5) Abilitare l'https
Ormai è una cosa che si da per scontata la
connessione sicura su un sito web.
Quello che bisogna fare per attivare l'
https su un sito è innanzitutto acquistare un certificato
ssl da installare sul server, oppure cercarne uno gratuito online.
Una volta entrati in possesso del certificato, bisogna copiare i file necessari sul server e configurare
apache (o nginx, o iis) in modo tale che il sito in prima battuta faccia in automatico la
redirect dall'http all'https.
Ecco un esempio di configurazione del file
httpd-vhosts.conf:
<VirtualHost *:80>
ServerName sito.it
ServerAlias sito.it
Redirect / https://sito.it/
<Directory "C:\wamp64\www\sito">
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Require all granted
</Directory>
</VirtualHost>
Adesso bisogna andare a modificare il file
httpd-ssl.conf (tipicamente nel percorso
conf/extra), ad esempio in questo modo:
<VirtualHost *:443>
ServerName sito.it
ServerAlias sito.it
SSLEngine On
SSLCertificateFile C:\percorso\certificato.crt
SSLCertificateKeyFile C:\percorso\chiave-certificato.key
DocumentRoot C:\wamp64\www\sito
<Directory "C:\wamp64\www\sito">
Options -Indexes +FollowSymLinks +MultiViews
AllowOverride All
Require all granted
</Directory>
</VirtualHost>
Abilitando l'https tra l'altro, si evita che il browser dica all'utente che
il sito non è sicuro, messaggio non propriamente incoraggiante.
6) Proteggere i cookie e le sessioni
Per evitare / ridurre il rischio che qualche aggressore possa intercettare e manipolare cookie e sessioni, è bene abilitare due attributi del php, l'attributo
Secure e l'attributo
HttpOnly.
Il primo attributo implica che il cookie può essere trasmesso solo tramite un canale di comunicazione sicuro (es. l'https, che quindi va preventivamente abilitato sul sito), riducendo così il rischio che sia intercettato da parte di un malintenzionato in grado di monitorare il traffico di rete.
Il secondo attributo invece, impedisce al codice
client-side, tipo il
javascript, di accedere al contenuto del cookie, impedendo così che un eventuale codice malevolo possa rubare dati sensibili, riducendo così il rischio di furto della sessione tramite
Cross-Site Scripting (
XSS).
Entrambi questi attributi possono essere abilitati direttamente dal
php.ini, andando a proteggere le sessioni ed in particolare il cookie legato al PHPSESSID, semplicemente settando queste righe:
session.cookie_secure = 1
session.cookie_httponly = 1
Se invece si vuole assegnare questi attributi anche ai cookie generici, basta farlo direttamente quando si crea il cookie con il php, con questa sintassi:
setcookie("nome-cookie","valore",strtotime("+1 year"),"","",true,true);
Gli attributi
Secure e
HttpOnly sono rispettivamente, il penultimo e l'ultimo valore settato nel cookie, che in questo caso sono semplicemente indicati a
true.
Grazie a questa accortezza si riduce il rischio di
session hijacking.
7) Utilizzare password sicure
Dando per scontato che lato amministrativo si utilizzino solo password complesse, bisognerebbe anche muoversi per sensibilizzare l'utente finale sull'importanza di avere delle password d'accesso robuste.
Questo potete farlo lato codice, obbligando gli utenti a scegliere
password sicure, che rispettano i seguenti requisiti:
- Lunghezza di almeno 8 caratteri
- La password deve contenere sia numeri che lettere
- La password deve contenere almeno un carattere speciale
- La password deve avere almeno una maiuscola
Se tutti gli utenti utilizzassero questi criteri quando impostano la loro password personale, i malintenzionati di turno farebbero molta più fatica a rubare le credenziali alla gente, anche con il terribile
bruteforce.
Volendo poi esagerare, lato codice si potrebbe far scadere la password d'accesso ogni 3/6 mesi, obbligando l'utente a cambiarla all'accesso.
Se poi avete rispettato la
best practice di non salvare le password in chiaro nel database, ed avete usato un buon algoritmo di criptazione più il salt, allora potete stare ancora più tranquilli.
8) Abilitare i controlli con il CAPTCHA
Inserire la richiesta del
CAPTCHA dopo enne volte che si sbaglia ad inserire la password è un qualcosa di ormai obbligatorio per combattere tentativi di forzatura della sicurezza tramite
bruteforce.
Ci sono diversi siti che offrono il servizio di sicurezza CAPTCHA, il più famoso è sicuramente quello fornito da google, il famigerato
recaptcha (
https://www.google.com/recaptcha/).
Questo sistema può essere installato/configurato in modo che sia più o meno invasivo.
C'è infatti la versione che richiede solo la classica spunta alla voce "
non sono un robot", oppure quella in cui ci viene chiesto di cliccare sulle strisce pedonali.
La modalità in cui viene chiesto di compiere delle azioni può essere più o meno invasiva a seconda dei casi, il mio consiglio è quello di posizionarsi in una via di mezzo, senza disturbare troppo l'utente finale con click eccessivi.
Il controllo tramite codice CAPTCHA tra l'altro, può essere inserito anche nelle form d'iscrizione, o in tutte quelle pagine in cui viene chiesto di compiere un'azione all'utente.
Se ad esempio si imbastisce un controllo che, dopo enne richieste nel giro di poco tempo da parte dello stesso indirizzo ip, richiede la verifica CAPTCHA, questo può aiutare a verificare se ci si trova davanti ad un attacco
bot, e può ad esempio servire a mettere al riparo il nostro database da un inserimento massivo di dati indesiderati, o anche a non essere sommersi da email di spam provenienti dai nostri stessi form di contatto.
Il tema della
sicurezza informatica, aka
cyber security è sicuramente molto importante per chiunque sviluppi appicazioni web, che si utilizzi il php o anche qualsiasi altro linguaggio di sviluppo.
Occorre dunque non mostrare mai il fianco al
cyber crime, anche perchè la GDPR ormai impone di rispettare alcuni requisiti minimi di sicurezza, altrimenti si rischia pure di non essere a norma di legge.
