Sicurezza di un login

**furbostandby** · 25-09-2010, 14:48

Buongiorno a tutti,
leggendo l'articolo di HTML.it Login basati su cookie con php, ho notato che si dice, alla pagina 3, di far creare al login un cookie contenente semplicemente lo username, che permetterà di riconoscere successivamente l'utente per farlo accedere all'area riservata.
Mi sembra che sia davvero poco sicuro, perchè chiunque sarebbe capace di creare manualmente un cookie nel browser, contenente uno username di cui è a conoscenza, ed accedere senza permesso all'area riservata senza usare tecniche troppo complesse.

Che tecnica si potrebbe usare per rendere un sistema di login più sicuro di così?

Grazie ciao

**Samleo** · 25-09-2010, 15:05

Potresti usare username in chiaro e psw criptata...

Anche se in ogni caso, se salvi dei cookie con i dati di login, è sempre rischioso

**oly1982** · 25-09-2010, 15:12

Un pò di tempo fa aprii questa discussione che mi fu molto utile per chierirmi le idee sui cookie e sulla sicurezza...

http://forum.html.it/forum/showthrea...readid=1420672

**furbostandby** · 25-09-2010, 20:23

In effetti era quello su cui stavo riflettendo anche io, ma io pensavo di non salvare proprio la password nei cookie, ma lo username hashato e al posto della password un token di validità temporanea (implementata anche tramite un controllo lato server basato su un timestamp salvato su db), in modo che anche se un malintenzionato si impossessasse di questi due cookie avrebbe l'accesso solo per un tempo limitato.

Che ne dite dell'idea? A me sembra abbastanza sicuro il sistema...

Intanto grazie

**furbostandby** · 27-09-2010, 19:09

up

Discussione: Sicurezza di un login

Strumenti discussione

Ricerca discussione

Visualizza

Sicurezza di un login

Permessi di invio