Messa in sicurezza degli script richiamati da Sar-At

La grande attenzione che dedichiamo alla sicurezza dei siti significa che ci sforziamo di migliorare anche là dove eravamo già vincenti -- aggiungiamo difese al sistema anche in punti dove nessuno era mai riuscito ad attaccarlo.

Un buon esempio di questo atteggiamento è il sistema SaratVerifyCallback -- il quale interessa solo quelli che scrivono codice PHP di complemento a Sar-At stesso. Quando Sar-At deve chiamare uno script esterno, genera una password "usa e getta" e la passa nella URL al codice esterno, sotto al nome "otp".

Voi dovete semplicemente all'interno del vostro codice chiamare la funzione SaratVerifyCallback passando indietro la password usa-e-getta. In pratica, bastano tre righe di codice:

  require_once ("sarat/sar-el_core.inc.php");
  require_once("sarat/sar-at_eventmgr.inc.php");
  SaratVerifyCallback (NOME DEL VOSTRO SCRIPT, $_GET["otp"]);

Questo sistema blocca l'esecuzione del vostro script (dentro SaratVerifyCallback) se esso non è stato attivato da Sar-At stesso, impedendo a uno hacker che conosca davvero bene il funzionamento interno del vostro sito di attivarne manualmente le componenti.

Il sistema di callback viene attivato per tutti gli script PHP chiamati da showForm e per tutti gli eventi gestiti in PHP. Se non aggiornate i vostri script, appare automaticamente un avviso nella prima pagina del backoffice che vi invita a farlo e menziona quali sono gli script da aggiornare.