Creazione pw di accesso al sito personale

[Terrorista]

Buona sera a tutti i popolani del forum,
come spesso accade ( essendo alle prime armi ) ho bisogno del vostro preziosissimo aiuto!

Mi spiego nel dettaglio...

Ho la necessita di fare in modo che l'utente che si connette al mio sito per poter accedere ad una pagina dove potrà visualizzare delle lezioni di giornalismo on-line riceva una sua password personale per far si che poi riesca ad accedere ; per intenderci come nella registrazione a questo forum ...ti registri e ti viene inviata la pw.

Come posso fare per creare uan cosa del genere? è troppoc omplesso o ci sonod elle modalità più easy per me?

Grazie a tutti in anticipo

[daniele95]

magari potrebbe interessare anche a me in qualche futuro sito..

[Zoimaru]

In XHTML non lo fai... Ti serve un linguaggio dinamico tipo PHP che quando l'utente immette username e password va a vedersi se questi corrispondono ai dati in un database (o un semplice file di testo) ed in caso ti reindirizza alla pagina giusta (Spero di non aver detto una boiata).
Ci sarebbe maniera di farlo mettendo le pagine in una cartella ad accesso ristretto (httpd) e settando i permessi ai soli utenti che possono accedervi... è un pò seccante ma è la cosa più semplice che mi passa per la testa.

[daniele95]

non ti ho ben seguito... cosa è l'htppd

[Zoimaru]

Scusa è htaccess. Per info vedi qui: http://en.wikipedia.org/wiki/Htaccess

Su praticamente tutti gli host trovi un'opzione del pannello di controllo per proteggere e cartelle impostando username e password.

[daniele95]

ok

[Enzaccio]

Originariamente inviato da Terrorista
... delle modalità più easy per me?

Si può fare una passworded-page anche con l' ausilio di JavaScript; ma non vuole certo essere il massimo come sicurezza, in quanto l' utente visualizzando il Codice HTML della pagina di accesso, trova la' scritta anche la password.
Comunque è un espediente interessante da sapersi; e in talune occasioni e con taluni ulteriori accorgimenti, può tornare impiegabile.

Solo inserendo la password ciao si viene trasportati ad altra pagina (http://forum.html.it/forum/ come esempio):

codice:

<html>
<head><title>JS Access Page</title>

<script type="text/javascript">

function enter(){
 if(document.getElementById('campo_password').value=="ciao"){
    window.location="http://forum.html.it/forum/";
    } else {
    alert('password non valida');
    };
 }
</script>

</head>
<body bgcolor="#9090ff">
<div align="center">


Password: 
<input id="campo_password" type="text">
<input value="enter" onclick="enter();" type="button">

</div>
</body>
</html>

Gli ulteriori accorgimenti cui mi riferivo, possono essere scomporre la password nel codice JavaScript (parola ciao) in più variabili:

var tank = "ao";
var bren = "ci";

facendo poi:

if(document.getElementById('campo_password').value ==bren+tank){

aggiungendo fake variables e disseminando il tutto in uno script più vasto per far perdere visibilità alla parte "sensibile" del Codice.

[Zoimaru]

codice:

<html>
<head><title>JS Access Page</title>

<script type="text/javascript">

function enter(){
 if(document.getElementById('campo_password').value=="ciao"){
    window.location="http://forum.html.it/forum/";
    } else {
    alert('password non valida');
    };
 }
</script>

</head>
<body bgcolor="#9090ff">
<div align="center">


Password: 
<input id="campo_password" type="text">
<input value="enter" onclick="enter();" type="button">

</div>
</body>
</html>

La cosa più utile sarebbe cifrare la password che si inserisce con una funzione di hash tipo MD5 o SHA1
in pratica copi e incolli questo codice (fonte: http://pajhome.org.uk/crypt/md5/md5.html) in un file .js

Lo importi nella pagina (o lo fai importare allo script dell'amico Enzaccio tramite un document.writeln('<script type="text/javascript" src="..."></script>')) e poi cambi la riga:

Codice PHP:

if(document.getElementById('campo_password').value=="ciao"){ 


con

Codice PHP:

if(hex_md5(document.getElementById('campo_password').value)=="password_cifrata_MD5"){ 


Per cifrare la password in MD5 puoi usare lo script oppure il sito che ti ho linkato sopra, stesso dicasi se vuoi cambiare algoritmo di cifratura (ce ne sono diversi implementati).
Questo metodo, a differenza di htaccess, ti permette di impostare una sola password (potresti comunque complicare un pochino l'if per usarne diverse ma è scomodo). Anche se hai cifrato la password non sei al top della sicurezza in quanto ci sono programmi che a partire dall'hash md5 recuperano il testo (e quindi la password) originale (vedi qui: http://tools.benramsey.com/md5/).

[Terrorista]

Diciamo che vi sto seguendo anceh se alcuni passaggi non li ho ben capiti ma provando e riprovando ci riuscirò...ma chi la crera la pw?? cioè ammetiamo che io segua il consiglio di enzaccio l'utente che vuole accedere come fà ad avere la sua pw?

[Zoimaru]

Devi crearla tu, eventualmente cifrarla se vuoi seguire il mio consiglio e poi darla all'utente.