[Solira] form sicure
Ivan Iacono
ivan.iacono a gmail.com
Lun 1 Ago 2011 15:20:10 CEST
Il 01/08/11 12.21, Massimo Maiurana ha scritto:
> Ivan Iacono, il 01/08/2011 01:53, ha scritto:
>> Ma se il numero di tessera è un valore univoco, non potresti semplicemente
>> usare per l'autenticazione il numero di tessera, e una password, assegnatagli
>> dal sistema (o eventualmente scelta dall'utente, in questo ultimo caso
>> memorizzerei nel db soltanto l'hash)?
> e' piu' o meno quello che proponeva maurizio, ma occorre fornire un ulteriore
> parametro (appunto la pssword) ad utenti che non sono esattamente skillati e
> che probabilmente perderebbero la mail/lettera dove e' segnata questa password.
>
> come dicono a oxford, i know my chickens ;)
>
Si scusatemi ho letto solo la domanda velocemente non avevo visto le
altre risposte. Ihih XD bella la battuta dei polli, comunque per evitare
di perdere la password, si potrebbe permettere all'utente di sceglierla,
e dato che molto probabilmente sceglierà una password che usa già per la
posta elettronica, facebook ecc.., anzichè memorizzare nel db la
password, si potrebbe memorizzare l'hash della stessa, e ad ogni accesso
si calcola l'hash della stessa lato client es. tramite una funzione
javascript, e la si invia al server che fa l'autentica. In questo modo
anche se un malintenzionato riuscirebbe ad accedere al db "non può"
decifrare la password relativa a quell'utente proteggendo i suoi account
di posta ecc.. In caso di intercettazione del messaggio con ad esempio
uno sniffer in modalità promiscua, non si ha la password in chiaro.
Tralasciando altre problematiche, per il tipo di dati che si intende
proteggere e la fetta di utenti, penso sia sufficiente e semplice da
implementare.
Interessanti queste discussioni, il bello di una comunità linux XD
Maggiori informazioni sulla lista
Solira