Come Proteggere con password una pagina web?

[delgado]

Un saluto a tutti !!
Sono nuovo del forum e vedo che siete tutti ipercompetenti così ho pensato di chiedere aiuto a voi !!

Sto realizzando un piccolo sito web a livello amatoriale (è il primo che realizzo) e vorrei proteggere una pagina web (scritta in html) con password univoca !!
Il mio intento è Mettere un link nell'Home page "Area Privata" che indirizza alla pagina per il login, inserita la password, se esatta vengo indirizzato alla pagina uno.html se errata nuovamente alla pagina per il login con scritto il messaggio "login errato, riprovare ! " !!

Sono totalmente ignorante a riguardo, ho consultato un po' di script nell'area download ma alcuni non fanno al caso mio altri non sono riuscito a farli funzionare..

Mi dareste una mano ??

P.s.: come avrete capito non mi serve una protezione invulnerabile, ma se ho capito bene è meglio utilizzare codice eseguito lato server tipo php vero?

[Andrea1979]

ciao e benvenuto sul forum.
Esatto, la soluzione migliore (ed unica) è quella lato server... poi ci sono "soluzioni" o "pseudosoluzioni" più o meno cattive (nessuna buona comunque), in javascript.

Per esempio una senza troppi sbattimenti è che la password sia parte del nome della pagina da proteggere:

<html>
<body>
<form name="login">
Inserisci password:<input type="text" name="pwd"><input type="button" value=" VAI " onClick="window.location='pagina_'+this.form.pwd.v alue+'.html'">
</form>
</body>
</html>

Dove la pagina protetta sarà ad esempio pagina_segreta.html e la password "segreta"

[delgado]

inizio subito col ringraziarti per la risposta lampo !!

E provo subito ad utilizzare il tuo script !!

[grafik]

Interessante!
Non essendoci un link diretto su pagina_segreta.html, quest'ultima non viene indicizzata dai motori di ricerca giusto?
Grazie mille!

[delgado]

Ottimo funziona !!

Ultima domanda, c'è la possibilità di far apparire asterischi al posto delle lettere/numeri che si digitano nel campo password ?

[Andrea1979]

Originariamente inviato da grafik
Interessante!
Non essendoci un link diretto su pagina_segreta.html, quest'ultima non viene indicizzata dai motori di ricerca giusto?
Grazie mille!

Non ci metto la mano sul fuoco... e chi mi dice che se un utente con qualche amenità tipo xyz-bar visista la pagina questa non venga registrata e quindi mandata al rispettivo motore...(o che il mio fornitore di connessione non tracci tutte le pagine etc etc.) Insomma, c'è da aver paura anche con il lato-server... figuriamoci il lato-client, comunque, quello è lo scopo ultimo: non avere da nessuna parte un link diretto alla pagina.

Originariamente inviato da delgado
Ottimo funziona !!

Ultima domanda, c'è la possibilità di far apparire asterischi al posto delle lettere/numeri che si digitano nel campo password ?

Si', imposta il campo come type="password"

[gia12]

Scusate ma perchè dite "poi ci sono "soluzioni" o "pseudosoluzioni" più o meno cattive (nessuna buona comunque), in javascript"? Io sto usando questa soluzione "alla buona".
Cioè intendete dire che non è sicura? Va be' ma in pratica uno (non dico il KGB) come fa ad aggirarla? Sarà una domanda banale.... grazie mille!

[Andrea1979]

La soluzione non è buona perché chiunque con un link diretto alla pagina vi accede. Come procurarselo non ha importanza, fattosta che esiste il sistema di accedervi. Con una soluzione lato server, si possono fare dei controlli del caso (ad esempio tramite variabili di sessione di login etc etc e mostrare o meno il contenuto protetto).

[delgado]

effettivamente io ho cambiato script abbandonando questo html poco sicuro con uno PHP lato server che utilizza accesso tramite password e cookie !! In pratica non permette di aprire determinate pagine senza prima inserire la password...

[gia12]

Vi ringrazio delle risposte ma non avete risolto il mio dubbio. (Tra parentesi anche in altri thread spesso ho letto la parola sicura, non sicura, ma mai che spieghino le cose...) Certo, lo so che se la pagina esiste può essere segnalata tramite un link, però può essere segnalata da una persona che vi entrata tramite password. Ma allora quella persona "traditrice" (diciamo così tanto per dire) può direttamente fornire la password, sia la pagina protetta lato client o server. C'è qualcosa che mi sfugge? O forse il punto è che se la pagina protetta è comunque presente e visualizzabile senza password ci sono sistemi automatizzati per cercare di trovarla? Anche se la password è alfanumerica di 10, 20 o più caratteri? Non credo. Scusate ma sono ignorantissimo. Grazie!