[Solira] form sicure

[Ivan Iacono]

Il 01/08/11 12.21, Massimo Maiurana ha scritto:
> Ivan Iacono, il 01/08/2011 01:53, ha scritto:
>> Ma se il numero di tessera è un valore univoco, non potresti semplicemente
>> usare per l'autenticazione il numero di tessera, e una password, assegnatagli
>> dal sistema (o eventualmente scelta dall'utente, in questo ultimo caso
>> memorizzerei nel db soltanto l'hash)?
> e' piu' o meno quello che proponeva maurizio, ma occorre fornire un ulteriore
> parametro (appunto la pssword) ad utenti che non sono esattamente skillati e
> che probabilmente perderebbero la mail/lettera dove e' segnata questa password.
>
> come dicono a oxford, i know my chickens ;)
>
Si scusatemi ho letto solo la domanda velocemente non avevo visto le 
altre risposte. Ihih XD bella la battuta dei polli, comunque per evitare 
di perdere la password, si potrebbe permettere all'utente di sceglierla, 
e dato che molto probabilmente sceglierà una password che usa già per la 
posta elettronica, facebook ecc.., anzichè memorizzare nel db la 
password, si potrebbe memorizzare l'hash della stessa, e ad ogni accesso 
si calcola l'hash della stessa lato client es. tramite una funzione 
javascript, e la si invia al server che fa l'autentica. In questo modo 
anche se un malintenzionato riuscirebbe ad accedere al db "non può" 
decifrare la password relativa a quell'utente proteggendo i suoi account 
di posta ecc.. In caso di intercettazione del messaggio con ad esempio 
uno sniffer in modalità promiscua, non si ha la password in chiaro. 
Tralasciando altre problematiche, per il tipo di dati che si intende 
proteggere e la fetta di utenti, penso sia sufficiente e semplice da 
implementare.
Interessanti queste discussioni, il bello di una comunità linux XD