[Solira] form sicure

Loris Fichera loris.fichera a gmail.com
Lun 1 Ago 2011 15:36:37 CEST


On 08/01/2011 03:20 PM, Ivan Iacono wrote:
> Si scusatemi ho letto solo la domanda velocemente non avevo visto le 
> altre risposte. Ihih XD bella la battuta dei polli, comunque per evitare 
> di perdere la password, si potrebbe permettere all'utente di sceglierla, 
> e dato che molto probabilmente sceglierÓ una password che usa giÓ per la 
> posta elettronica, facebook ecc.., anzichŔ memorizzare nel db la 
> password, si potrebbe memorizzare l'hash della stessa, e ad ogni accesso 
> si calcola l'hash della stessa lato client es. tramite una funzione 
> javascript, e la si invia al server che fa l'autentica. In questo modo 
> anche se un malintenzionato riuscirebbe ad accedere al db "non pu˛" 
> decifrare la password relativa a quell'utente proteggendo i suoi account 
> di posta ecc.. In caso di intercettazione del messaggio con ad esempio 
> uno sniffer in modalitÓ promiscua, non si ha la password in chiaro. 

Diciamo che *non* memorizzare le pwd in chiaro nelle basi di dati e` una
delle misure di sicurezza piu` elementari e universalmente utilizzate
(esistono delle eccellenti eccezioni:
http://www.cyber-space.it/blog/news-eventi/attacco-hacker-ai-siti-web-di-moltissime-universita-italiane/1202/
).

Relativamente al problema dell'intercettazione, altra misura di
sicurezza minima e` quella di scambiare le credenziali per
l'autenticazione all'interno di un canale *sicuro*, ad esempio HTTP +
SSL. :)

  Loris.


Maggiori informazioni sulla lista Solira