Sicurezza sul Web

[magodellaneve]

ciao a tutti..
ho un cliente che mi chiede uno spazio dove dalla sede centrale possa caricare dei file e cartelle (documentazioni top secret) e poi dalle altre sedi sparse x il mondo possano invece accedere a questo spazio x prelevare i file.
io avevo pensato ad un account ftp x il caricamento all'interno di una cartella protetta da nome utente e password in lettura x chi invece scarica.
però vorrei garantire un livello di sicurezza massimo... che mi consigliate???
va bene un server che danno x gli hosting con user e pass in un file php o in un db mysql?? esistono server dedicati a questo scopo? e se si a quale costo? devo usare ssl,ssh,pgp,https o robe del genere?? ...domani devo saper dire al cliente... ditemi la vostra.. grazie

[cli]

Sono interessato o meglio appassionato anch'io nel senso: proteggere un acesso a una pagina tramite login (user&password) non è gia sicuro di suo??

Qualcuno si puo sniffare user e pass sul db??

[Coach]

io per le amministrazioni e/o aree riservate uso di solito 2 metodi...

1° metodo

sessioni e controllo dati da database(user pass... volendo altro campo)

2° metodo
auth.php un file che includo nelle pagine da proteggere:

[fish]

Diciamo che per come andrebbe inteso secondo me il discorso il livello di sicurezza di un server dovrebbe, e dico dovrebbe perchè capita non di rado che non è, essere al massimo delle possibilità. Ciò non toglie che cmq la possibilità di trovar bug ci sarà sempre, perchè come si dice la macchina sicura è la macchina spenta. Presumendo che il server è "sicuro", a questo punto dovrai decidere tu cosa adoperare. Io ti consiglierei di informarti prima di bene sulle possibilità del server che ospita tali documenti, e poi di proteggere il collegamento magari tramite ssl, anche se è stato dimostrato che qualche problemuccio ci sarebbe, e sopprattutto di usare qualcosa che possa crittografare i dati, come ad esempio PGP. Poi, ricorda che se il cliente, ha il suo o i suoi pc che hanno problemi, allora è un'altro discorso perchè il massimo della sicurezza si raggiunge ottimizzando tutti i fronti, ricordandosi che non vuol dire mai sicurezza assoluta.

[Coach]

penso che il lato sicurezza server nn sia molto inerente... xchè la sicurezza del server è sulle spalle di chi ti offre il servizio-

il lato problemi vari sul PC del client nemmeno, xchè si sta parlando di sicurezza web.

penso che se le banche danno la possibilità di visualizzare e manipolare il proprio conto corrente una certa sicurezza ci sia no?

Non so che tipo di sicurezza sia... ma credo proprio che prima di imbroccare una user ed una password ce ne voglia di tempo, io di sicuro nn so nemmeno cosa voglia dire hackerare, quindi non so che tipo di percorso e che strategie usino... ma ripeto che prima di imbroccare user e password ce ne vuole... e ci rimarco dicendo che allora anche indovinare user e password dell'FTP o dell'accesso del conto corrente di una persona ha la stessa difficoltà.

[magodellaneve]

mmm.... grazie per i suggerimenti... il mio dubbio era rivolto + che altro alla sicurezza del server come prima cosa, è vero che come dici tu (coach) è difficile imbroccare user e password, ma se riesci a sfruttare un exploit o un bug del server per avere accesso a una shell, magari come root , allora di conoscere userid e password non ne hai + bisogno, puoi vedere tutti i file che vuoi.
E qui mi chiedo.. esistono server web sicuri al massimo?? ..sisi lo dicono tutti che sono i più sicuri ma lo sono veramente? .. seconda cosa, si potrebbe si criptare i file o proteggerli con password ma credo che se uno ha le capacità per entrare in un server decriptare un file o scoprire un password di uno zip gli fa una pippppp... ..ricordo che sto parlando di brevetti che ha una società a livello mondiale... ora mi auguro x loro che non mettano mai il segreto della loro azienda in un server web ma magari documentazioni che la concorrenza pagherebbe oro x avere si.
aspetto proposte