Docebo aiuto per favore

[bircastri]

Scusate ragazzi, so che questa forse non è la sezione adatta.

Ho un piccolo (si fa per dire problema) ho da posco installato docebo che è una piattaforma e-learning. Questa piattaforma è installata per ora in locale ma deve esere integrata con un sito esistente.

Quello che io voglio fare è questo inserire la pagine di login di docebo all'interno di un mio sito.

Ho trovato questo frammento dic odice postato dal team di docebo però ho riscontrato il segunete errore.

In pratica nella pagina di login di docebo c'è un campo hidden con un valore nascosto che non capisc come si può generare.

MI sapreste indicare qualcosina'???

codice:

<form  class="std_form" id="login_confirm" method="post"
action="http://localhost/docebo/doceboLms/index.php?modname=login&amp;op=confirm"> 
      <input type="text" id="login_userid" name="login_userid" value="" />  
      <input type="password" id="login_pwd" name="login_pwd" />
      <input type="submit" id="login" name="log_button" value="login" />
</form>

[NonCeLaFaccio+]

Ciao,
fammi capire, tu stai scrivendo un form che deve passare dei dati ad una pagina php e non ti è chiaro l'utilizzo che questa pagina fa di un certo campo.

E cosa fai per chiarirci le idee? Ci passi il codice del tuo form che quel campo neanche lo passa!
L'unica cosa che dici di questo campo è "campo hidden con un valore nascosto".

Ti sembra che ci stai fornendo elementi sufficienti a fare qualche ipotesi?

Dai, cerca di essere un po' più chiaro.

Ciao

[bircastri]

Allora il sistema docebo funziona così quando effettui un login, il modulo invia al sistema username, password ed un valore nascosto che genera con un algoritmo o una funzione che si chiama md5.

se io faccio tasto destro visualizza sorgente il campo nascosto che ho è il seguente:


<input type="hidden" id="authentic_request_login_confirm" name="authentic_request" value="f409d237c193f4dd9dee328cfca28f6a" />
<div>

<label for="login_userid">Username</label></p>
<input class="textfield" type="text" id="login_userid" name="login_userid" value="" maxlength="255" tabindex="1" />



<label for="login_pwd">Password</label></p>
<input class="textfield" type="password" id="login_pwd" name="login_pwd" maxlength="255" tabindex="2" /><br /
><input class="button" type="submit" id="login" name="log_button" value="Login" tabindex="3" /></div></div>
</form>

[NonCeLaFaccio+]

Bene, adesso comincia ad esserci qualche informazione in più.

Però ancora non è tutto chiaro.

Allora, md5 (come anche sha1), sono funzioni che accettano un argomento stringa e restituiscono un hash cioè una di quelle lunghe stringhe di caratteri tipo quella che hai postato (f409d237c193f4dd9dee328cfca28f6a).

La cosa insolita, per la mia esperienza, è che sia il client ad inviare un hash al server, di solito non è così.
L'unica ipotesi che posso fare è che si tratti di un modo per evitare tentativi di login automatico o ripetuto da parte di spider o di cracker. Praticamente questo sistema obbliga chi vuole connettersi a docebo a utilizzare una pagina di login generata dal server stesso perché solo in questo modo l'hash sarà riconosciuto e validato dal server.

Se le cose stanno così sarà difficile che tu possa inserire la pagina di login nel tuo sito, tutt'al più potrai inserire un link alla loro pagina di login.

D'altra parte tu dici che il team di docebo ti ha postato un codice privo di quel campo hidden e allora ... che significa? Che se ne può fare a meno? Ma allora non capirei il senso di mettere un hash se poi se ne può anche fare a meno.

Forse dovresti chiedere al team che ti ha postato il codice.

Ma poi, scusa, hai provato a loggarti senza inviare il campo hidden? O inviandolo vuoto? Che succede?

Ciao

[bircastri]

Allora se inserisco nome utente e password corretti o errati che siano mi arriva sempre questo messaggio Your request is invalid. Try missing retry insomma mi dice che ci sono problemi di sicurezza. ecc ecc

Cosa ho fatto per vedere se il codice che mi avevano postato era giusto o meno.

Ho aperto la home page di login del sistema Docebo, ho copiato il valore hidden visualizzando il codice.

Fatto ciò ho inserito nel modulo di Joomla il campo hidden con quel valore e magicamente tutto funziona perfettamente.

Funziona però solo se non chiudo il browser perchè a questo punto il codice cambia e non psso fare più nulla.

Allora smanettando sul loro codice ho trovato la funzione che genera questo codice.

In pratica prende id utente, data e aggiunge un codice suo li combina tramite md5 e mi restituisce questo codice lungo. Non riesco ancora a capire quale è la funzione che lo genera.

Però ho trovao il seguente codic che dice che se l'autenticazione è andata a buon fine ritorna la sessione altrimenti no, l'ho cancellato ed in pratica a questo punto il sistema non fa più questo controllo e funziona dal mio sito in joomla.

Però non so se poi è sicura questa cosa o meno.