test accessibilità su pagine riservate

[MicheleWT]

Sto facendo dei test di accessibilità, contrasto cromatico e usabilità su un sito che è dotato di molte pagine ristrette a login.

Queste pagine se il login è accettato stampano il loro ocntenuto altrimenti un form che rimanda al login.


Il punto è che quando eseguo un test, anche se nel browser ho effettuato l'autenticazione, i vari validatori non arrivano mai al contenuto protetto, limitandosi a validare sempre e solo la pagina con il form per il login.

se avessi poche pagine copierei l'output in una pagina statica e la validerei, ma sarebbe un lavoro molto lungo.

qualcuno conosce un metodo per far entrare un validatore nelle pagine riservate?

grazie dell'attenzione

[filippo.toso]

Passa la validatore un URL contenente una chiave univoca temporanea (es. ?key=fc3ff98e8c6a0d3087d515c0473f8677).

All'interno del codice inserisci un bypass per l'autenticazione nel caso in cui sia passata la chiave univoca (magari utilizzando una costante).

Quando fai i test attivi il sistema, quando hai terminato li disattivi.

In questo modo il sito sara' esposto a possibili attacchi (sempre che l'attaccante conosca la chiave unica temporanea utilizzata) solo per il tempo che esegui il test.

[filippo.toso]

Un'altro metodo potrebbe essere quello di creare uno script proxy che non fa altro che visualizzare l'url richiest dopo essersi autenticato sul server senza pero permettere all'utente di interagire. In questo modo la sicurezza sarebbe molto piu' elevata.

[MicheleWT]

mmmm troppe pagine in cui dovrei inserire questa modifica, e poi cambiarla una volta effettuato il test.

più veloce il copia/incolla, upload e check allora.

possibile che non ci sia un tool che tiene conto di queste cose?

[d@niele]

Originariamente inviato da filippo.toso
Passa la validatore un URL contenente una chiave univoca temporanea (es. ?key=fc3ff98e8c6a0d3087d515c0473f8677).

All'interno del codice inserisci un bypass per l'autenticazione nel caso in cui sia passata la chiave univoca (magari utilizzando una costante).

Quando fai i test attivi il sistema, quando hai terminato li disattivi.

In questo modo il sito sara' esposto a possibili attacchi (sempre che l'attaccante conosca la chiave unica temporanea utilizzata) solo per il tempo che esegui il test.

io avevo fatto una cosa simile solo anzichè usare una chiave mi basavo su ip di provenienza della richiesta

bye

[MicheleWT]

oltretutto la funzione che controlla se è stato fatto o meno il login, gestisce anche le statistiche di accesso e quindi se vede che il login è stato fatto si aspetta anche tutta una serie di variabili per gestire le visite, e gli spostamenti, ecc.

vado col copia incolla, ok.


già che ci siamo, a livello desktop non conoscete dei tool validi per fare questi tipi di test?