Tasti back/forward e sicurezza

[Stefano Carniel]

Ciao a tutti ho da sottoporvi un problema da neofita.
Ho realizzato una pagina HTML in cui l'utente inserisce login e password e poi tramite metodo post accede ad un'altra pagina connettendosi a un database (nell'ipotesi che sia un utente riconosciuto ovviamente).
A questo punto se clicco il pulsante back del browser torno nella pagina di login (dove ovviamente la password è scomparsa), ma se clicco il pulsante forward del browser rientro nella pagina dove stava l'utente autorizzato VVoVe: il che viola ogni criterio di sicurezza.
Potete suggerirmi come cercare qualcosa sull'argomento che, credo, sarà già stato ampiamente trattato?

Grazie e scusate l'eventuale ridondanza.
Ciao

[Marcolino's]

E' un problema lato server non di html, comunque il tuo problema è un classico e i motivi possono essere tanti.
Uno quasi sicuramente è la latenza del server, infatti in genere mantengono il "contatto" con l'utente anche se questo se n'è andato, tasto back del browser o chiusura dello stesso con conseguente riapertura in brevissimo tempo (5 secondi in genere).

A volte la procedura è voluta, infatti metti che uno si sbaglia a tornare indietro, invece di chiedergli nuovamente il login lo si fa entrare di nuovo.
Altre volte dipende dai cookie come questo forum, ovvero vieni autenticato automaticamente.

Per ovviare a ciò si possono usare le sessioni di stato del PHP o di ASP, ma devi chiedere nei loro forum, perché ogni spiegazioni per esse esulano da questo forum e poi è una tematica estremamente complessa.

[alexdem24]

bhe da quello che so, non ha importanza il fatto che premi il tasto back or forward del browser. Quando nel sito effettui il login, ci possono essere vari modi per cui le impostazioni inseriti rimangono memorizate. Per prima cosa se ti loggi utilizzando i cookies. Poi se utilizzi le variabili di sessione, rimani loggato fino a quando non le distruggi.

Stai attento anche alla cache che potrebbe causare questo inconveniente.

Che linguaggio utilizzi ?

[Stefano Carniel]

Php, uso due variabili $login e $password e le passo con il metodo post

[alexdem24]

ma dimmi una cosa, se apri un nuova finestra del browser ed inserisci l'url della pagina di destinazione riesci a vedere qualcosa ?

Non vorrei che il controllo lo effettui soltanto nella pagina del login, ma nella pagina di destinazione tu non facessi nessun controllo per verificare che effettivamente il login sia stato effettuato.

[Stefano Carniel]

Originariamente inviato da alexdem24
ma dimmi una cosa, se apri un nuova finestra del browser ed inserisci l'url della pagina di destinazione riesci a vedere qualcosa ?

Uhmm... questo non l'avevo ancora provato, comunque è a posto, perchè la pagina di destinazione è strutturata così:

if connessione_ok then

<carica pagina iniziale>

else

<carica pagina di accesso negato>

Inserendo direttamente l'url, non ci sono i dati (username e password) per la connessione, quindi ricado nell'else. L'unica cosa fastidiosa sono i due messaggi:

Notice: Undefined index: username in d:\sipaonline\menu.html.php on line 4

Notice: Undefined index: password in d:\sipaonline\menu.html.php on line 5

[alexdem24]

A mio avviso quello che il pulsante del browser fa non ha niente di anormale, anche perche' se l'utente e' arrivat a quella pagina si suppone che il login l'abbia gia effettuato, quindi quando fa back e poi avanti di nuovo, il browser sa che ha gia' effettuato il login. Ma se proprio non vuoi che abbia questo comportamento, alla fine della seconda pagina (quella dove arrivi dal login) prova ad inserire due righe di codice dove svuoti le variabili login e password. Vedi se cosi' funziona


ciao