 |
 Napolux |
| [PHP] Autenticazione |
30-03-2004 09:12 |
|
 |
Napolux |
-29 Kg da Settembre 2005
Registered: Jun 2002
Posts: 3666 (0.42 al dì)
Location: Giussano (MI)
Corso: F28
Anno: ???
Time Online: 21 Days, 19:29:36 [...]
Status: Offline
Edit | Report | IP: Logged |
 [PHP] Autenticazione
Sto sviluppando un piccolo blog in PHP + Mysql, e ho il problema di come
autenticare in modo "abbastanza" sicuro (non e' che mi serva una protezione
eccessiva) il proprietario del blog.
La mia idea era questa:
Nel dbase ci sarebbe questa tabella:
Tabella user
campo1: username
campo2: password
Tramite un form e una query su questa tabella avrei l'accesso o meno.
E' valida come idea o c'e' qualcosa di piu' sicuro (ma altrettanto
semplice)???
__________________
Napolux.com
|
|
30-03-2004 09:12 |
|
|
| |
|
| dan |
| Puoi mettere un sistema di controllo delle passwor ... |
30-03-2004 10:21 |
|
|
dan |
..: Dottore :..
Registered: Oct 2002
Posts: 2446 (0.29 al dì)
Location: MI
Corso: Info
Anno: 3
Time Online: 11 Days, 7:56:39 [...]
Status: Offline
Edit | Report | IP: Logged |
Puoi mettere un sistema di controllo delle password in modo che non sia uguale allo username, al nome dell'utente, al cognome, ...
Puoi usare una trasmissione dei dati via shtml ....
|
|
30-03-2004 10:21 |
|
|
| |
|
| Napolux |
| [QUOTE][i]Originally posted by dan [/i]
... |
30-03-2004 10:23 |
|
|
Napolux |
-29 Kg da Settembre 2005
Registered: Jun 2002
Posts: 3666 (0.42 al dì)
Location: Giussano (MI)
Corso: F28
Anno: ???
Time Online: 21 Days, 19:29:36 [...]
Status: Offline
Edit | Report | IP: Logged |
Originally posted by dan
Puoi mettere un sistema di controllo delle password in modo che non sia uguale allo username, al nome dell'utente, al cognome, ...
Puoi usare una trasmissione dei dati via shtml ....
Mmhh....
Intendi https??? 
__________________
Napolux.com
|
|
30-03-2004 10:23 |
|
|
| |
|
| DeepBlue |
| Volendo puoi crittare la password nel database tra ... |
30-03-2004 12:03 |
|
|
| |
|
| holylaw |
| forse e' una domanda un po' stupida, ma che vantag ... |
30-03-2004 12:46 |
|
|
holylaw |
.grande:maestro.
Registered: Feb 2003
Posts: 3142 (0.37 al dì)
Location: milano
Corso: Magistrale Informatica
Anno: bella domanda
Time Online: 88 Days, 5:30:09: [...]
Status: Offline
Edit | Report | IP: Logged |
forse e' una domanda un po' stupida, ma che vantaggio porta criptare la password??
voglio dire....... tu hai la pagina con i form userid e password.... prendi la password, la cripti e controlli nel db se e' la stessa stringa...
cosa cambia nel controllare direttamente la password??
l'unico vantaggio che mi viene in mente e' per i metodi GET..... o sbaglio??
__________________
La mia epoca ed io non siamo fatti l'uno per l'altro:questo è chiaro. Ma è da vedere chi di noi due vincerà il processo di fronte al tribunale dei posteri.
AV MJØDEN VART DU VIS OG KLOK, SÅ DREKKA MER!!!!
Le persone sagge parlano perché hanno qualcosa da dire.
Le persone sciocche perché hanno da dire qualcosa.
|
|
30-03-2004 12:46 |
|
|
| |
|
| AlphaGamma |
| Un sistema efficiente è generare un hash md5 da r ... |
30-03-2004 19:10 |
|
|
AlphaGamma |
.piano ma pieni.
Registered: Jun 2002
Posts: 6732 (0.78 al dì)
Location:
Corso: Eh?
Anno: Io cosa?
Time Online: 21 Days, 21:22:01: [...]
Status: Offline
Edit | Report | IP: Logged |
Un sistema efficiente è generare un hash md5 da registrare sul database. Il motivo è presto spiegato: il lato server non sa la password (che magari tu usi anche per autenticarti altrove) e quindi garantisce di piu' l'utente.
La protezione comunque non è totale. Il problema è che quando invii la password (per registrarti la prima volta e per autenticarti poi) l'hash è generato lato server, e quindi dal client al server la password circola in rete in chiaro.
La sicurezza migliore dunque è quella di generare l'hash direttamente lato client, con un javascript.
Carmelo (il progetto mio e di Viry) usava l'hash lato server.
Carmine (il progetto di Fatur, Teovt e Juventina) usava l'hash lato client. Cio' non toglie che Carmelo era in genere piu' figo. 
__________________
Attenzio', concentrazio', ritmo e VITALITÀ
|
|
30-03-2004 19:10 |
|
|
| |
|
| Napolux |
| Grazie a tutti, vado a spulciare la documentazione ... |
31-03-2004 07:11 |
|
|
Napolux |
-29 Kg da Settembre 2005
Registered: Jun 2002
Posts: 3666 (0.42 al dì)
Location: Giussano (MI)
Corso: F28
Anno: ???
Time Online: 21 Days, 19:29:36 [...]
Status: Offline
Edit | Report | IP: Logged |
Grazie a tutti, vado a spulciare la documentazione...
__________________
Napolux.com
|
|
31-03-2004 07:11 |
|
|
| |
|
| DeepBlue |
| [QUOTE][i]Originally posted by holylaw [/i]
... |
06-04-2004 13:33 |
|
|
DeepBlue |
tired guy
Registered: Sep 2003
Posts: 4258 (0.52 al dì)
Location: CSN
Corso: Info tlc
Anno:
Time Online: 52 Days, 8:40:31 [...]
Status: Offline
Edit | Report | IP: Logged |
Originally posted by holylaw
forse e' una domanda un po' stupida, ma che vantaggio porta criptare la password??
voglio dire....... tu hai la pagina con i form userid e password.... prendi la password, la cripti e controlli nel db se e' la stessa stringa...
cosa cambia nel controllare direttamente la password??
l'unico vantaggio che mi viene in mente e' per i metodi GET..... o sbaglio??
Avevo perso il thread.... Comunque può anche essere una questione di onestà del programmatore: criptando la password non può utilizzare l'account dell'utente e in più si ha la tranquillità che nel caso qualcuno ottenga l'accesso al dump del DB non rubi le password (per farsene cosa non so, sto ipotizzando)
E poi come dici tu, se il programmatore ha deciso di passare dati sensibili via GET (Arrrrrrghhhhh) sarebbe meglio che questi siano criptati
__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~
|
|
06-04-2004 13:33 |
|
|
| |
|
| All times are GMT. The time now is 12:45. |
|
|
 |
|
 |
|
|
| |
Forum Rules:
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
|
HTML code is OFF
vB code is ON
Smilies are ON
[IMG] code is ON
|
|
|
|
|
|
Napolux
)
