[Solira] form sicure
Loris Fichera
loris.fichera a gmail.com
Lun 1 Ago 2011 15:36:37 CEST
On 08/01/2011 03:20 PM, Ivan Iacono wrote:
> Si scusatemi ho letto solo la domanda velocemente non avevo visto le
> altre risposte. Ihih XD bella la battuta dei polli, comunque per evitare
> di perdere la password, si potrebbe permettere all'utente di sceglierla,
> e dato che molto probabilmente sceglierà una password che usa già per la
> posta elettronica, facebook ecc.., anzichè memorizzare nel db la
> password, si potrebbe memorizzare l'hash della stessa, e ad ogni accesso
> si calcola l'hash della stessa lato client es. tramite una funzione
> javascript, e la si invia al server che fa l'autentica. In questo modo
> anche se un malintenzionato riuscirebbe ad accedere al db "non può"
> decifrare la password relativa a quell'utente proteggendo i suoi account
> di posta ecc.. In caso di intercettazione del messaggio con ad esempio
> uno sniffer in modalità promiscua, non si ha la password in chiaro.
Diciamo che *non* memorizzare le pwd in chiaro nelle basi di dati e` una
delle misure di sicurezza piu` elementari e universalmente utilizzate
(esistono delle eccellenti eccezioni:
http://www.cyber-space.it/blog/news-eventi/attacco-hacker-ai-siti-web-di-moltissime-universita-italiane/1202/
).
Relativamente al problema dell'intercettazione, altra misura di
sicurezza minima e` quella di scambiare le credenziali per
l'autenticazione all'interno di un canale *sicuro*, ad esempio HTTP +
SSL. :)
Loris.
Maggiori informazioni sulla lista
Solira