Ciao a tutti, recentemente ho subito un attacco all'area riservata di un mio sito, era protetto solo da password, adesso ho fatto qualche cambiamento mettendo nome utente e password e scegliendoli un po' più robusti per complicare l'hacking.
Il mio timore è che non siano le password deboli ma il mio sistema di controllo e non so come testarlo.
Brevemente io lo testo in questo modo: passo i valori user e password con un form ad una pagina asp, qui con if controllo la correttezza di user e password e in caso di non conformità rimando al form con un redirect. In caso di controllo positivo genero un codice di sessione che trasporto in tutte le pagine dell'area riservata tramite querystring ed in ogni pagina viene controllato.

Come faccio a sapere se il mio metodo è sufficiente o no? Premetto che non vi sono dati importanti, ma ovviamente un accesso indesiderato può causare problemi al sito.

Grazie