Gestione aree riservate

**RedKid** · 21-06-2004, 09:59

Saluti a tutti,
sono alle prese con i primi esperimenti di sviluppo di un'area riservata nel mio sito.
Spero la richiesta non risulti troppo banale, cmq il mio dubbio verte sulla gestione degli account.
Io ho impostato le cose in questa maniera:
database sql-server
ho creato un utente generico webxxx ed una tabella contenente gli account di tutti gli utenti che voglio autorizzare
Con l'utente generico effettuo la connessione al database per rilevare se le informazioni di account inserite nella pagina di log-in sono esatte.
Il problema è che i dati della connessione generica appaiono in chiaro nel codice asp di login.
Mi chiedo, è un approccio corretto (non credo) o per.es. bisognerebbe creare un utenza specifica su sql-server per ciascun utente da autorizzare (mi sembra poco ragionevole anche questo).
Ogni suggerimento è ben accetto, ciao ciao

**fcrisafi** · 21-06-2004, 10:12

Stai dicendo che sono visibili nella barra dell'indirizzo nome utente e password del tipo: pagina.asp?username=pippo&password=pippo ???

Passa i dati con il method=post e nella barra non comparirà nulla.

Io in generale ho una tabella con i vari nomi, userid e password. Dopo la maschera di inserimento verifico che i dati siano presenti nel db. Se sì vai avanti magari creando una sessione relativa all'area riservata, se no fai il redirect verso una pagina di errore.

**RedKid** · 21-06-2004, 10:20

No, no parlavo della visibilità sulla barra degli indirizzi.
Mi riferivo al fatto che tali valori sono scritti in maniera fissa sul file .asp.
In caso di accesso in lettura nella cartella del sito (cosa non del tutto improbabile trattandosi di un contesto INTRANET, no lo avevo precisato in precedenza) il plus di sicurezza garantito dalla presenza di SQL-SERVER verrebbe di fatto a decadere.
Il tipo di gestione di cui mi parli, rispecchia più o meno quello che ho implementato anche io.
P.S. Non ho intenzione di sfruttare l'autenticazione windows o filtri basati sull'IP perchè spessissimo i client sono in dotazione a più persone e non tutti supportano la creazione dei profili personali.
Inoltre, gradirei che alcuni degli utenti avessero la possibilità di collegarsi da qualsiasi punto della rete.
Grazie cmq per la collaborazione...ciao

**fcrisafi** · 21-06-2004, 10:25

Non ho capito. Cosa vuoi che non si veda nella barra degli indirizzi??

**Shagrat** · 21-06-2004, 10:30

non ho capito il perchè dell'account generico.

tu assegni username e password agli utenti autorizzati e li metti in una tabella "utenti" del db...

quando uno inserisce i dati nel form di login tu nella pagina che effettua i controlli fai una select tipo:

codice:

username = trim(request.form("username"))
password = trim(request.form("password"))

select * from utenti where user='"&username&"' and password='"&password&"'"

conrolli poi che ci sia un risultato nel recorddset:

se c'è fai un redirect alla pagina privata, se non c'è lo rispedisci indietro

**RedKid** · 21-06-2004, 10:59

Mi spiego meglio.
Per effettuare la select che mi è stata suggerita devo effettuare una preventiva connessione al database, utilizzando quindi uno user e pwd dell'SQL-Server.
Bene, le informazioni di questo account devono (salvo che mi indichiate dove sto sbagliando) figurare nel codice della pagina ASP che analizza i requisiti di log-in.(connessione-interrogazione della tabella utenti- risposta)
Posto che un utente smaliziato riesca a leggere il codice di questa pagina, avrebbe di fatto la chiave di accesso al database.
Spero di aver chiarito il concetto... ciao a tutti

**Roby_72** · 21-06-2004, 11:09

Questo è un altro discorso...
Le pagine devo stare su un server protetto. Se tutto hanno la possibilità di entrarci non è bello.

Roby

**ZeroCool981** · 21-06-2004, 11:10

Il codice asp non lo puoi vedere da browser... soprattutto se la user e la psw le tieni in un db e le richiami

**RedKid** · 21-06-2004, 11:16

Sono d'accordocon roby72.
Il mio era un discorso di approccio al problema.
Volevo capire se la metodologia di implementazione che sto intraprendendo si basasse su presupposti sbagliati. Mi pare di comprendere che tutti si orientino nella stessa direzione ed,in pratica, il postulato di base è la sicurezza del file-system del server.
Grazie a tutti, suggerimenti in merito cmq sono sempre bene accetti.

**Shagrat** · 21-06-2004, 11:18

oppure usa un dsn...è un pochino (ma poco) più lento e non ti serve usare username e password perchè le specifichi alla creazione del dsn e basta

Discussione: Gestione aree riservate

Strumenti discussione

Ricerca discussione

Visualizza