[Solira] form sicure

Maurizio Pisana maurizio.pisana a gmail.com
Sab 30 Lug 2011 15:40:52 CEST 

Non puoi mandare al socio una mail con password casuale/pin non appena lo
registri per la prima volta?

Maurizio.

Il giorno 29 luglio 2011 13:07, Massimo Maiurana <maiurana a gmail.com> ha
scritto:

> vorrei avere il vostro parere su una semplice questione:
>
> premessa:
> poniamo di avere un'associazione a cui e' possibile aderire in vari modi,
> ma
> visto che siamo nell'era digitale la stragrande maggioranza di chi aderisce
> lo
> fa compilando una form sul sito web dell'associazione. in seguito poi il
> socio
> riceve una tessera su cui e' stampato il suo nome ed il numero della
> tessera
> stessa.
> i dati della form vengono inviati all'addetto alla manutenzione del db che
> provvede ad inserirli dopo aver ricevuto l'accredito della quota
> d'iscrizione.
>
> problema:
> supponiamo ora che chi ha gia' aderito per un anno intenda semplicemente
> rinnovare la sua iscrizione mantenendo inalterati i dati (o la maggior
> parte
> di questi) gia' comunicati l'anno precedente e salvati in un database dei
> soci.
> per facilitare la cosa decidiamo di implementare un sistema che compili
> automaticamente la form estraendo i dati dal database dopo aver
> identificato
> il socio.
>
> soluzione:
> strutturiamo la form in modo che immettendo il cognome e il proprio numero
> di
> tessera la stessa venga compilata, consentendo comunque l'aggiornamento dei
> campi che sono cambiati dall'anno precedente (ad esempio se ha cambiato
> indirizzo o numero di telefono).
> facciamo in modo che il numero di tessera sia una stringa alfanumerica di
> almeno 8 caratteri.
>
> domanda:
> secondo voi, e' questo un livello di sicurezza accettabile per quanto
> riguarda
> i dati del socio?
> tenete presente che i dati estratti ed eventualmente modificati non vengono
> inseriti direttamente nel db, quindi il problema non e' la contaminazione
> del
> db; il dubbio riguarda il fatto che un malintenzionato possa leggere i dati
> personali del socio conoscendo il numero di tessera (perche' ipotizziamo
> che
> l'attaccante conosca gia' il cognome).
>
> --
>
>    Massimo Maiurana      massimo<at>ragusa.linux.it
>    http://massimo.solira.org    GPG keyID #7044D601
>
>    Creare l'uomo  fu un'idea bizzarra  e originale,
>    ma  aggiungere  la  pecora  fu  una  tautologia.
>                  [Mark Twain]
>
>
> _______________________________________________
> Solira mailing list
> Solira a liste.solira.org
> http://liste.solira.org/cgi-bin/mailman/listinfo/solira
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://liste.solira.org/pipermail/solira/attachments/20110730/fc84e268/attachment.htm

Maggiori informazioni sulla lista Solira