ilbello.com hosting - Forum di supporto

Salve,
devo fare un intero scriptuccio php da zero, perché non esiste... e se ci aggiungete che sono autodidatta...

con molta fatica ho imparato come creare sul mio sito uno script php che legge (e assegna a una stringa) il contenuto di una pagina https, protetta da username e password, la quale è su un sito esterno, e contiene messaggi privati che lo script deve leggere di nascosto (=non nel browser dell'utente). Dico che è una pagina https perché inizia per https 

l'indirizzo che lo script aprirebbe (di nascosto,non nel browser) è qualcosa del tipo
https://username:password@indirizzopaginasenzahttps.com
Funziona con tutte le pagine https protette da password. Carino, no?

Prima domanda. Ho cercato su wikipedia. se ho ben capito, anche se, COME VEDETE CHIARAMENTE nell'indirizzo ci sono scritti dei dati sensibili in chiaro (l'username e la password appunto), tali dati però non viaggiano in chiaro ma criptati da un indirizzo all'altro perché è https e non http. è giusto?

(o glieli passo così, o non uso quella pagina... non è del mio sito)

Naturalmente l'indirizzo lo faccio aprire di nascosto dallo script, non in faccia all'utente dentro il browser, stupido sì ma non così... e con un header già sperimentato faccio in modo che lo script non viene cachato né dal browser né da alcun motore di ricerca, non si sa mai...

Unica alternativa: posso mettere questi messaggi privati dentro una casella di posta (invece che nella pagina https), e poi leggerli effettuando un accesso SSL alla casella tramite una qualche libreria IMAP per php. Questo accesso certamente non è meno sicuro di quello prima... ma è più sicuro far viaggiare i dati così?

Ma per me ovviamente è molto più facile aprire un indirizzo https che una casella di posta SSL... E poi consuma molta, molta meno banda, perché la pagina https è dell'ordine di un kb, ho visto. Chissà quanti kb invece deve scaricare per una connessione IMAP con SSL... E non voglio farmi cacciare da ilbello per eccessivo consumo di banda

Seconda domanda. Se apro quella pagina https, Firefox mi dice "connessione non criptata" mentre nella guida di quel servizio c'è scritto che, per esempio, se la apro con un lettore di feed (io la apro con uno script php, poco cambia) il lettore di feed DEVE supportare "SSL/HTTPS e l'autenticazione HTTP" altrimenti NON funziona. Domanda, se la connessione fosse non criptata, a che cavolo serve che il lettore feed supporti SSL eccetera? La cosa è ancora più strana perché se vado su altre pagine dello stesso stesso dominio, Firefox mi dice "connessione criptata". Mah. Forse questo è meglio se lo chiedo a loro... 

PS
colgo l'occasione per delle domande vecchie che avevo fatto solo via email all'assistenza (sarà mica finito nello spam x sbaglio? ). avevo chiesto:

• se pensate che abiliterete o no php cron sugli account ilbello eventualmente su richiesta
• se è consentito oppure consuma troppa banda fare un cron job leggero ma molto frequente, p. es. appunto chiamare ogni minuto lo script php di cui sopra, che o legge (e assegna a una stringa) una pagina https di circa un kb, oppure effettua un accesso IMAP con SSL a una casella di posta (molti più kb, peggio)

(nota: ci sono vari modi per fare un cron job... chiaro che se lo attivaste su richiesta sarebbe la soluzione più pulita. parlo proprio di cron job, NON di uno dei cosiddetti pseudo-cron che funzionano solo se qualcuno visita il mio sito... sono capace a farli... NON deve essere richiesta alcuna visita al sito, per una semplicissima questione di prontezza. AGGIUNTA: per ovvie ragioni in pubblico non dico le alternative per fare un cron job...)

Avrete capito che un simile script mi serve per comandare da remoto alcune operazioni periodicamente, in base a cosa contengono i messaggi. Operazioni sul mio sito, ovviamente (e potete sbizzarrirvi!), ma anche (e qui viene il-bello) chiamate ad applicazioni php interessanti, sviluppate da terze parti e che pertanto risiedono su server esterni... applicazioni voip ecc...

Scusate se non mi dilungo ma se un ipotetico sniffer sa a fondo il funzionamento, gli agevolerei solo il compito.
Infatti la cosa è ben più lunga. seguiranno altri dettagli se qualcuno è interessato
saluti e grazie in anticipo

Credo che quello che chiedi non sia consentito
Dopo per quello che dici tu, fatti una cosa in flash o in java...e risolvi tutti questi problemi di browser e altro!
Ciao! ^^
PS. C'è anche il db mysql x i mex!

grazie della risposta. anch'io credo che non sia consentito volutamente, il cron. nel mio caso la roba da scaricare è dell'ordine del kb a ogni esecuzione, ma se lo usassero tutti e con tanti kb, abusandone di sicuro, sarebbe più che giusto vietarlo. ma se vi disturbo è perché il tutorial sul cron che ho letto diceva:
1. Chiedi al fornitore dello spazio web di abilitarlo
2. bla bla bla
quindi tentar non nuoce
Sottolineo che, qualora non lo abilitassero, so fare eseguire lo script in automatico in altri modi (meglio che non li dico, và), sottolineo che non è pseudo-cron (non sono cioè necessarie visite) e quindi volevo sapere se fossero consentiti questi altri modi anche se immagino che sia vietato per ovvie ragioni (il consumo di banda è uguale e identico).
Mi suggerisci di usare java, esiste una classe imap java ma richiede java installato, meno diffuso di javascript. e poi è client-side, io uso il php proprio perché è server-side (infatti, ripeto, io vorrei che non sia richiesta alcuna visita, per una questione di prontezza: di notte, quando nessuno è al pc, la lentezza di uno pseudo-cron sarebbe accettabile per un blog da cellulare, ma inaccettabile per altri servizi che ho in mente: voip ecc. Questa caratteristica di funzionare offline è impossibile da ottenere con un linguaggio client-side a meno che qualcuno non tenga il PC acceso apposta).
Certo, Flash è molto diffuso e se non fosse client-side sarebbe un'ottima soluzione.
risposta al PS
cioè i messaggi devono essere prelevati da un sito esterno e non sono in formato SQL, quindi non mi serve usarlo (mai dire mai... un furto di database...  )

PPS qualcuno mi sa dire dell'https? mi auguro che il contenuto della pagina sia criptato... ma che dire del contenuto dell'URL, che è quello che mi serve sapere? Se la risposta è complicata, lasciate perdere, farò in altro modo, grazie...

Mi auto rispondo sull'https (ma non sul cron).
Esiste l'autenticazione http basic e l'autenticazione http digest: cioè password in chiaro oppure hashata.
In molti siti l'autenticazione basic è descritta come non sicura se non è sicura la connessione.
L'autenticazione della mia pagina è basic, perché la password è in chiaro.
Il fatto che la pagina inizi con https però PUÒ essere sufficiente per stare tranquilli, a patto che siano soddisfatte altre condizioni spiegate qui
http://www.webappsec.org/lists/websecurity/archive/2006-01/msg00047.html
in breve lì c'è scritto che devo accertarmi che quel sito non esca MAI dalla connessione sicura iniziale (https) per reindirizzarsi a una connessione non sicura. Devo chiedere a loro. Grazie
AGGIUNTA: e se invece si reindirizza a una connessione http (non "http secure") per esempio per questioni di velocità, in tal caso devo assicurarmi che per tutto il tempo della connessione http nessun dato sensibile viaggi in chiaro (molti infatti prima di uscire dall'https creano un cookie criptato temporaneo della sessione, e se un hacker ti sniffa quel cookie non è che ci fa granché)

AGGIUNTA: mi auto-rispondo anche per il cron job. per aprire una pagina https, e immagino anche aprire la posta con ssl, se ho ben capito servirebbe che ci sia scritto openssl da qualche parte dentro phpinfo() e non lo trovo, quindi non potrei comunque farlo su ilbello. "Se ho ben capito" è una parola grossa
Tra gli utilizzi che avevo in mente c'è un blog aggiornato via email. Tanto in quel caso i messaggi (una volta usciti dall'email, ovvio) sono pubblici e non urgenti, quindi potrei trasportarli qui senza openssl e senza cron... So che non è niente di nuovo ma se ci riesco ve lo mostro sul mio sito qui sotto