Campo Password

[telemaco]

Ciao a tutti,
è la prima volta che scrivo sul forum anche se sono tanti anni che consulto html.it periodicamente.
Ho un problema di cui non riesco a individuare la soluzione, nonostante abbia letto molti topic all'interno del forum ricercando "password".

Ho una semplice/comunissima struttura di login in cui richiedo nome utente e password, la check box per "ricordarsi" l'utente e il tasto di log in.
Tutto funziona tranquillamente, gestione dei cookies, controllo su db, ecc...

questo è un estratto del codice asp:

Codice PHP:

<form action="login.asp" method="post" name="login" ID="Form2">
<div>
 <span>Nickname:<input type="text" name="nName" value="<%=nomeCookie%>" size="10" id="Text1"></span>
</div>
<div>
 <span>Password:<input type="password" name="nPass" value="<%=pswCookie%>" size="10" id="PasswordLog"></span>
</div>
<div>
 <span>Ricordami<input type="checkbox" id="Check1" name="cookie" checked>
<input type="submit" value="OK" id="Submit2" name="Submit2"></span>
</div>
</form> 


dove nomeCookie e pswCookie sono i valori che riprendo dal database in base al codice lasciato nel cookie

Vorrei capire come poter rendere ancora più sicuro il tutto nascondendo (anche nell'html visibile attraverso il "visualizza html" di IE o il "visualizza sorgente pagina" di FF) il valore del campo della password al caricamento, con cookies abilitati. L'ho visto realizzato in un gioco online (www.travian.it).
Il gioco sfrutta tecnologia php, io uso asp.

Ora, le domande sono due:
1) è una cosa che fa il php in automatico?
2) altrimenti, come potrei realizzarla?

Grazie in anticipo,
Aigor

[AlfaOmega08]

Comincio col dire che non sono esperto di ASP.
Il PHP non nasconde le password nell'HTML, ne l'ASP.
Puoi nascondere l'intero sorgente inserendo la pagina del login in un frame.

codice:

<html>
...
<frameset rows="*,0,0">
        <frame src="login.asp" frameborder="0" scrolling="yes" noresize />
</frameset>
</html>

In questo modo se qualcuno dovesse aprire l'HTML si troverà il codice di un frame

Un alternativa sarebbe quella di criptare la password prima di stamparla sull'HTML con md5 o altri algoritmi (non so se md5 è implementato anche in ASP), inserire un input hidden, che viene settato a 1 se il login avviene tramite riconoscimento dati dai cookie e a 0 se i dati non sono salvati.
Con la variabile hidden settata a 1, il file che analizza il login, non dovra criptare la password perchè già stata criptata. Se settata a 0, dovrà far criptare la variabile post.

Fammi sapere

[telemaco]

uhm...
allora, scarto l'ipotesi del frame in partenza, mi riduce a zero l'accessibilità nella pagina (ho fatto delle prove con un reader per ipovedenti su pagina senza stili... non è stato facile capire come farlo ragionare con i frame, quindi, nei panni dell'ipovedente, me ne sarei andato subito dal sito...)

Per quanto riguarda l'MD5, ok, ci proverò, non mi pare ci siano funzioni direttamente in asp, ma è un algoritmo che si trova in giro (al più si implementa).

Nel mentre mi è venuta in mente un'ipotesi e, alla prima prova, parrebbe essere confermata...
Ho provato solo ora a cancellare i cookie dopo essere arrivato sulla pagina di login del gioco. Dopo averlo fatto e aveer tentato l'accesso mi ha rimandato al login (non è entrato), penso, quindi, che quel valore visualizzato venga generato da codice lato server in base a ciò che c'è nel cookie, conti i caratteri della password e setti il numero di asterischi all'interno del "value".
E' possibile che venga usato questo escamotage?
Se sì vuol dire che il sito esegue la scansione dei miei dati prima che io glieli invii, quindi... quanto ne risente la sicurezza?

Nel mentre ringrazio ancora per la risposta alle prime domande e provo a implementare l'MD5 oppure uno dei formati di cifratura (DES3 andrebbe bene?).

Di nuovo
Aigor

[AlfaOmega08]

Non mi è molto chiaro l'escamotage... :master:

Comunque io ho detto MD5 perchè è il più usato su PHP, ma puoi utilizzare qualunque algoritmo.
Ciao

[Sandro1983]

Ciao a tutti!
volevo inserire una password tra una pagina web ( normale) e una pagina web protetta. Lavorando sui frammenti HTML trovati nel forum, non riesco ad effettuare i collegamenti tra le due pagine.. Lo so, è molto "triste" questa domanda.. ma per favore qualcuno mi può fare un semplice esempio di come devo inserire i frammenti e come impostare il collegamento?!Grazie

[ricman]

Siamo nel forum di (X)HTML ... restiamo in tema.
L'html, con il campo password, può solo formattare la visualizzazione del riquadro e degli asterischi per non mostrare il testo.
Tutto il resto dovreste domandarlo agli esperti nelle sezioni giuste (Asp o Php). Sicuramente trovate più risposte...