ciao a tutti,
È abbastanza sicuro dopo aver effettuato il controllo dello user e della pass dal database, di memorizzare solo un identificativo dell'utente nei cookie per effettuare il riconoscimento dell'utente loggato ?
Tutti i forum + diffusi utilizzano metodi aggiuntivi per garantire una sicurezza maggiore, qualcuno potrebbe consigliarmi uno di questi metodi abbastanza sicuro ?
Grazie
SGr33n
variabile session
variabile session + db
dipende dal livello di sicurezza che è direttamente proporzionale alle risorse che dovrai utilizzare.
Cosa intendi ?
Ho esaminato un pò il codice di webwiz e loro memorizzano uno usercode che nn ho ben capito a cosa serva...
Inoltre effettuano un controllo abbastanza inutile sulla sessione proveniente dalla pagina del form di login. Bah
SGr33n
Inutile?Originariamente inviato da SGr33n
Inoltre effettuano un controllo abbastanza inutile sulla sessione proveniente dalla pagina del form di login. BahVVoVe:
Tutt'altro... previene salvaaggi in cache e locale di pagine per manipolarle ed inviarne le informazioni alterate.
Inoltre il sistema è ben studiato e tutt'altro che spartano.
Viene generato un codic salt ed un codice random che combinati e verificati mediante cookie abilitano il login senza mai salvare altre info delicate.
Bhè prima di dire inutile bisognerebbe capire bene perchè è stato fatto.
Controllo sulla sessione? In molti casi è la cosa migliore.
Appunto!Originariamente inviato da 99eros9
Bhè prima di dire inutile bisognerebbe capire bene perchè è stato fatto.
Controllo sulla sessione? In molti casi è la cosa migliore.
Si ma se la sessione viene memorizzata in una query string è facilmente manomissibile. Cmq nn ho studiato bene il sistema, lo stavo facendo giusto ora, magari il passaggio della session è davvero fondamentale.
@weppos
Se ho capito bene in giro per il forum webwiz si porta lo user code e nn l'identificativo dell'utente, giusto ? poi come fa a ricavare dallo usercode l'identificativo dell'utente ? fa una ricerca tra gli user code di volta in volta ? quindi a questo punto nel database lo user code deve essere index ?
Pls illuminami
SGr33n
Ora non ricordo + bene il sistema perchè avevo studiato a fondo una versione precedente. Cmq nel cookie viene memorizzato un codice random generato sulla base di una stringa random unita con la criptazione della password.
Il codice poi viene confrontato con le informazioni nel database e se viene trovato un codice uguale in combinazione ad un valore password codificato uguale allora vien identificato l'utente.
Non vengono fatti usi di sessione per mantenere attivo il login ma le informazioni sono ricaricate ad ogni caricamento della pagina dal file common.asp
Come è possibile O.O ?Originariamente inviato da weppos
Non vengono fatti usi di sessione per mantenere attivo il login ma le informazioni sono ricaricate ad ogni caricamento della pagina dal file common.asp
Cmq in un passaggio memorizza lo usercode in un cookie, penso identifichi l'utente loggato con quello.
SGr33n
Permessi di invio
Rispondi quotando