[cookie] memorizzare dati per riconoscimento

[roberto1982]

Ciao,
dopo aver letto una tonnellata di discussioni sull'argomento cookie, avrei delle domande da fare perchè volevo sapere se ho ben capito l'argomento "memorizzare dati per riconoscimento":

1.per essere riconosciuto in un login senza digitare di nuovo utente e password si utilizzanno solo i cookies?

2.nei cookies dopo aver verificato se sono abilitati salvo utente e password(criptata) o salvo un id preso dal database o altro?

3.sono abbastanza sicuri o è meglio non mettere il riconoscimento quando si effettua il login e digitare i dati manualmente?

sono domande banali lo so ma era giusto per chiarirmi alcune idee soprattutto il punto 2.

[filippo.toso]

Originariamente inviato da roberto1982
1.per essere riconosciuto in un login senza digitare di nuovo utente e password si utilizzanno solo i cookies?

Si

Originariamente inviato da roberto1982
2.nei cookies dopo aver verificato se sono abilitati salvo utente e password(criptata) o salvo un id preso dal database o altro?

Solitamente salvo un codice generato che include l'ID dell'utente ed un hash basato su un secret e, ad esempio, l'user agent. In questo modo è più difficile che un attaccante riesca ad ottenere i privilegi dell'utente inserendo ID casuali.

In ogni caso, per funzioni "sensibili" è meglio agire come Amazon che richiede comunque l'autenticazione (es. per fare il checkout).

Originariamente inviato da roberto1982
3.sono abbastanza sicuri o è meglio non mettere il riconoscimento quando si effettua il login e digitare i dati manualmente?

Vedi sopra.

[roberto1982]

Grazie per le risposte,

Solitamente salvo un codice generato che include l'ID dell'utente ed un hash basato su un secret e, ad esempio, l'user agent. In questo modo è più difficile che un attaccante riesca ad ottenere i privilegi dell'utente inserendo ID casuali.

salvi il codice nel cookie e nel database per poi confrontarlo una volta che si rilogga, giusto o non ho capito una mazza?

[filippo.toso]

Nel cookie salvo un valore calcolato che comprenda sia l'ID che un hash di sicurezza.

Quando avvio la sessione, verifico la presenza del cookie, ne analizzo il contenuto, confronto i dati nel DB, convalido l'hash e, se tutto va a buon fine, imposto le variabili di sessione come se l'utente avesse fatto il login.

[roberto1982]

quindi se per ipotesi sono malintenzionato mi registro al sito ecc.....

ora apro il file dove viene memorizzato il cookies e cambio il valore.

con il tuo metodo risulta, come hai già detto, molto difficile mettere un valore valido e "spacciarsi" per qualcuno altro!!!

ti dico questo perchè l'ho letto in un'altra discussione
http://forum.html.it/forum/showthrea...ghlight=cookie

estrapolo il pezzo

... Teoricamente con i cookies puoi fare tutto quello che fai con le sessioni, tuttavia ti consiglio di utilizzare entrambe: si tratta di una questione di sicurezza. I cookies non sono altro che piccoli file di testo immagazzinati dal browser al pc dell'utente. Ipoteticamente chiunque puo' aprirli e leggerli.
Immagina ora per caso che sul cookie che il tuo sito rilascia una volta effettuata la prima login venga salvata l'id dell'utente.
il cookie apparirebbe come qualcosa di questo tipo
id_user | 2032
ogni volta che l'utente naviga il tuo sito viene fatta la query al db tramite questa id_user, nulla pero mi vieta di aprire il file e cambiare il 2032 in 1. in questo modo tutte le query verebbero fatte con id_user = 1, in parole povere potrei spacciarmi per qualsiasi utente ......

ho capito tutto in maniera corretta?

[roberto1982]

Scusa mi avevi risposto prima

In questo modo è più difficile che un attaccante riesca ad ottenere i privilegi dell'utente inserendo ID casuali.

grazie e complimenti per gli articoli che scrivi su creativepark.

[roberto1982]

riprendo questa discussinoe per un ultima domanda:

il procedimento va tutto bene e funzionale...ma se io volessi fare una cosa tipo:
vado alla pagina login e vengono visualizzate sia nome utente che password (nei rispettivi campi input) anzichè accedere direttamente ad un area privata, sarebbe possibile?
la risposta è si perchè c'è chi lo fa,
ma non capisco come fanno a mettere la password, io nel cookie metto un codice che viene confrontato con quello nel database e riesco a tirare fuori il nome utente ma la password è criptata e non si può decriptare quindi come si potrebbe fare?
per intenderci come l'account di google!!!

mi viene da pensare che questi siti abbiano:
la password in chiaro;
o
creano un'altra password in chiaro che viene utilizzata per convalidare in caso di presenza di cookie;
o
avete qualche idea in merito?!?

[filippo.toso]

Sei sicuro che non si tratti della semplice funzione di salvataggio dei form messa a disposizione dal browser?

[roberto1982]

non accedo in maniera diretta cioè
se io vado alla pagina di login devo sempre cliccare il submit per il login indipendentemente se sia attivo o no "Ricordami su questo computer" e ho i cookie attivi.

cosa differente su html.it che mi riconosce il cookie e sono già loggato quando vengo sul forum.

Perchè?
non capisco questa differenza di comportamento.

comunque sta di fatto che quello che ho detto prima non è possibile ho esiste qualche procedura per far ciò?

[filippo.toso]

Come fa anche Amazon, per alcune "funzioni" sensibili (es. l'acquisto), viene comunque rischieto il login.

Per quanto riguarda la seconda domanda, è possibile o inserire nel campo la password in chiaro (es. se nel DB ci sono le password in chiaro) oppure inserire un hash di autenticazione costituito in un formato specifico (es. {#$hash_di_X_caratter#}). In questo modo se l'utente inserisce manualmente la propria password, lo script se ne accorgerà perchè non sarà nel formato previsto e tenterà l'autenticazione. Se l'utente non inserisce la password, lo script gestirà il login a partire dall'hash. In ogni caso, non ne comprendo molto l'utilità e continuo a pensare che tu stia confondendo questa soluzione con la funzione di salvataggio dei form del tuo browser.