10.967 messaggi dal 09 febbraio 2002
Contributi
Salve a tutti,
ho un sito che si chiama ad esempio dominio.it a cui aggiungo un dominio di terzo livello ogni qualvolta registro un'azienda che vuole usare i suoi servizi. Quindi dispongo di:

azienda1.dominio.it
azienda2.dominio.it
ecc...

Quel che vorrei fare adesso è rendere il login sicuro, un po' come avviene qui su aspitalia, e quindi fare autenticare gli utenti su https.
Siccome mi posso permettere di comprare un certificato per 1 solo dominio, ho pensato di creare login.dominio.it e installare lì il certificato SSL.

Tuttavia, il mio sito ha form di login su ciascun sottodominio e non voglio mettermi a modificare tutte le pagine per ridirezionare l'utente a login.dominio.it prima che possa digitare username e password.

Quel che vorrei fare è solo modificare l'action di tali form affinché sia https://login.dominio.it/. Cioè come nell'esempio seguente:

<form method="POST" ACTION="https://login.dominio.it/login.aspx">
Username: <input type="text" name="username" value="">
Password: <input type="text" name="password" value="">
<input type="submit" value="Invia">
</form>

Ed ecco la domanda:
Mettere il form qui sopra in un sottodominio non protetto (es. http://azienda1.dominio.it/) mi garantisce lo stesso che user e password viaggeranno su connessione protetta https?

Oppure il form stesso deve trovarsi anche lui su https?
Grazie, saluti.


Edit: questo sito di banking online usa la stessa tecnica.
http://www.chase.com/
Questo vuol dire che posso stare tranquillo? (sto cercando il maggior numero di conferme per non prendermi poi degli insulti dai guru del settore :P

Modificato da BrightSoul il 16 novembre 2007 10.34 -

Enjoy learning and just keep making
2.410 messaggi dal 13 febbraio 2003
Contributi
Ed ecco la domanda:
Mettere il form qui sopra in un sottodominio non protetto (es. http://azienda1.dominio.it/) mi garantisce lo stesso che user e password
viaggeranno su connessione protetta https?

se la pagina di destinazione (action della form) è sotto https sì, ma è un sistema che sconsiglio in quanto gli utenti a giusta ragione vogliono vedere il certificato sulla pagina di compilazione della from

Oppure il form stesso deve trovarsi anche lui su https?

no, basta che sia la pagina di destinazione ma non è sicuro e soprattutto molti utenti non se saranno felici

Edit: questo sito di banking online usa la stessa tecnica. http://www.chase.com/
Questo vuol dire che posso stare tranquillo? (sto cercando il maggior numero di conferme per non prendermi poi degli insulti dai guru del settore


il problema lo risolvi in modo molto elegante acquistando un certificato wildchar che ti permette di mettere tutti i domini di 3° livello sotto https con un unico certificato.

Il certificato non è proprio a buon mercato ma personalmente su queste cose non risparmierei

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.