[Solira] form sicure

Massimo Maiurana maiurana a gmail.com
Ven 29 Lug 2011 13:07:18 CEST


vorrei avere il vostro parere su una semplice questione:

premessa:
poniamo di avere un'associazione a cui e' possibile aderire in vari modi, ma
visto che siamo nell'era digitale la stragrande maggioranza di chi aderisce lo
fa compilando una form sul sito web dell'associazione. in seguito poi il socio
riceve una tessera su cui e' stampato il suo nome ed il numero della tessera
stessa.
i dati della form vengono inviati all'addetto alla manutenzione del db che
provvede ad inserirli dopo aver ricevuto l'accredito della quota d'iscrizione.

problema:
supponiamo ora che chi ha gia' aderito per un anno intenda semplicemente
rinnovare la sua iscrizione mantenendo inalterati i dati (o la maggior parte
di questi) gia' comunicati l'anno precedente e salvati in un database dei soci.
per facilitare la cosa decidiamo di implementare un sistema che compili
automaticamente la form estraendo i dati dal database dopo aver identificato
il socio.

soluzione:
strutturiamo la form in modo che immettendo il cognome e il proprio numero di
tessera la stessa venga compilata, consentendo comunque l'aggiornamento dei
campi che sono cambiati dall'anno precedente (ad esempio se ha cambiato
indirizzo o numero di telefono).
facciamo in modo che il numero di tessera sia una stringa alfanumerica di
almeno 8 caratteri.

domanda:
secondo voi, e' questo un livello di sicurezza accettabile per quanto riguarda
i dati del socio?
tenete presente che i dati estratti ed eventualmente modificati non vengono
inseriti direttamente nel db, quindi il problema non e' la contaminazione del
db; il dubbio riguarda il fatto che un malintenzionato possa leggere i dati
personali del socio conoscendo il numero di tessera (perche' ipotizziamo che
l'attaccante conosca gia' il cognome).

-- 

    Massimo Maiurana      massimo<at>ragusa.linux.it
    http://massimo.solira.org    GPG keyID #7044D601

    Creare l'uomo  fu un'idea bizzarra  e originale,
    ma  aggiungere  la  pecora  fu  una  tautologia.
                  [Mark Twain]

-------------- parte successiva --------------
Un allegato non testuale  stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  198 bytes
Descrizione: OpenPGP digital signature
Url:         http://liste.solira.org/pipermail/solira/attachments/20110729/7b78d0f3/attachment.pgp 


Maggiori informazioni sulla lista Solira