[Cookies] Accesso al sito

[Horazon]

Domanda secca:
cosa conviene memorizzare in un cookie per effettuare l'accesso persistente ad un sito?

Molti sconsigliano user e pwd per motivi di sicurezza (il mio obiettivo è fare la cosa più sicura possibile.

L'unica idea che mi è venuta è la seguente:
ad ogni cambio pagina (quindi all'inizio del caricamento) creo un codice unico che viene memorizzato sul cookie e sul DB, farebbe da password, ma, secondo me, ha due lati positivi:
[list=1][*]Se anche dovessero sniffare un cookie basterebbe un cambio pagina per rendere quello rubato inutile.[*]La password non gira mai nella connessione se non al primo accesso.[/list=1]
Però c'è anche un lato negativo, credo che l'operazione di uploadare il cookie ed aggiornare il DB possa rallentare molto quando si raggiunge un numero considerevole di utenze contemporanee.

[piero.mac]

Risposta secca:

Stai per reinventare le sessioni.

[Horazon]

Uhm... Il concetto è differente, le sessioni si chiudono con l'uscita dal sito... O sbaglio?

A me serve un metodo un pò sicuro (per quanto si possa fare senza SSL) per mantenere un utente loggato anche a distanza di giorni...

[piero.mac]

Originariamente inviato da Horazon
Uhm... Il concetto è differente, le sessioni si chiudono con l'uscita dal sito... O sbaglio?

A me serve un metodo un pò sicuro (per quanto si possa fare senza SSL) per mantenere un utente loggato anche a distanza di giorni...

E' stato trattato a lungo questo argomento. La via di comunicazione e' il browser.... Il cookie e' soggetto alla volonta' dell'utente. L'IP puo' essere mascherato o su router, e cosi' pure il MAC address, ammesso e non concesso di raggiungerlo.

La cosa piu' elementare e username e password. Da inserire ogni volta si riapre un browser. Io conosco te e il tuo pin e ti puoi connettere da dove vuoi. Se ho un riconoscimento automatico.. Dio mi scampi e liberi... che succede se un'altro usa il pc in mia assenza... (ne so qualcosa).

Si potrebbe fare un upload di un file di riconoscimento da client a server, non sempre fattibile, ma tanto vale username e password. Con un browser customizzato indicativo dello user.... ma se cambio pc?

Un utente puo' rimanere loggato per tutta la vita (del browser) anche per intere settimane... se non supera un time-out di non attivita'. Unione tipo cordone ombelicale e non matrimoniale dove esiste un vincolo anche se si e' separati fisicamente.

Mi pare che cerchi sicurezza.... beh! questa non e' nel riconoscimento automatico, almeno per la mia esperienza di lavoro.

[Horazon]

Ok, capisco il tuo pensiero e lo condivido al 100%.
Solo che è un servizio che gli utenti del mio futuro sito VORRANNO per comodità.
Certo, saranno loro a scegliere la comodità al posto della sicurezza, però io voglio proporre il metodo più sicuro possibile

Sbaglio?


Il concetto dell'idea che ho esposto è di tenere una 'password' che vari molto velocemente.

Io non sono ne un esperto di PHP ne un esperto di programmazione in generale, faccio questo lavoro da solo pochi mesi (anche se ho tentato di studiare prima da solo ma non sono il tipo...).

Lavoro nell'IT di una banca ma qua l'unico accorgimento sulla sicurezza del WEB è SSL... Il resto è lasciato ai sistemisti.

[piero.mac]

La quasi totalita' dei browser permettono di memorizzare e riempire automaticamente i campi user e password. Usino quella possibilita', a loro rischio. Basta dare le indicazioni di come fare per i vari browser...

[Horazon]

Mh...
Certe volte la soluzione più semplice non viene nemmeno considerata... Maledetto me -_-;

Grazie per l'idea, mi sembra proprio azzeccata, valuterò col mio socio