26 messaggi dal 14 settembre 2001
pur non essendo espertissimo, sto realizzando delle pagine commerciali dove mi si è posto il problema del "passaggio sicuro di informazioni riservate da una pagina asp all'altra".(es.userid e password)
lo scopo è quello di non costringere l'utente a "loggarsi" ogni volta che richiede una pagina protetta.
Leggendo un super manuale scritto da superesperti americani, rilevavo che, a detta di questi esperti, il metodo migliore per passare le info fra le pagine sarebbe l'utilizzo di variabili hidden form (form nascoste) poichè le variabili session dipendono dai famigerati cookie con tutti gli inconvenienti del caso. Ho provato a realizzare alcune pagine facendo l'utilizzo di queste variabili form nascoste; tutto bene salvo accorgermi che,con grande sorpresa, visualizzando le pagine in html, si vede ogni ben di *** . Il dubbio legittimo che mi attanaglia è questo:
Sono io che, non sapendone abbastanza, ho tralasciato qualcosa (benchè mi sia letto tutto quello che c'era sul manuale in questione)e che non ho saputo realizzare le pagine nella maniera giusta, oooooopure, davvero questi guru che scrivono manuali costosissimi, consigliano agli apprendisti di fare delle vere e proprie stronzate??? Sapere la verità mi sarebbe di grande aiuto formativo, quindi grazie a chiunque mi aiuterà.
11.886 messaggi dal 09 febbraio 2002
Contributi
ciao,

visualizzando le pagine in html, si vede ogni ben di *** .


beh, questo è vero, però considera che user e password saranno visibili solo al legittimo proprietario.
E' logico che se ti trovi in un webcafè, ti loggi e poi vai via il prossimo che arriva ti può leggere i dati.
Per me ti conviene usare le session. Sono abbastanza sicure perchè i valori risiedono SUL SERVER non sui cookie.

Quando in una pagina asp scrivi questa cosa:

Session("username") = "miouser"

il server "tiene a mente" questa informazione in una specifica area di memoria che reca come etichetta il sessionID del client.
A dirla molto semplicemente (tecnicamente neanche io so come funziona, ma...) è la sessionId che viene memorizzata sul cookie.
Alla prossima richiesta di pagina, il client presenta questo "tagliando" (il sessionID) e il server consente l'accesso alle informazioni session che avevi memorizzato in un'altra pagina.
Ecco spiegato perchè non puoi far affidamento sulle session se non hai i cookie attivi: il server non riesce a scrivere il "tagliando" che poi è necessario per recuperare le informazioni scritte nella pagina precedente.
Usa le session, è più pratico e i dati sono più protetti (stanno sul server).
Caiooo

Enjoy learning and just keep making
879 messaggi dal 09 luglio 2002
www.i-studio.it
Rispetto alla tua (giustissima) domanda, la risposta e':
si, questi superesperti americani a volte dicono effettivamente delle enormi, gigantesche "c...ate"!!!!

Infatti, se da una pagina inserisci dei campi nascosti con il codice e la password inseriti da un utente, non solo li rendi automaticamente visibili a tutti, ma in piu' rendi la pagina di fatto "non-protetta" perche' l'autenticazione della pagina dipende dalle stesse variabili che poi metti (IN CHIARO!!!) nel corpo della pagina!!!

Secondo me, la cosa migliore e' usare le variabili di sessione. E' vero che queste sono legate ai cookies ma se un utente non accetta neanche questo tipo di cookie (che sono quelli "temporanei" non quelli permanenti che risiedono sul disco), gli mandi un bell'alert e lo avvisi che per navigare occorre settare correttamente il browser...

Ciao
Alex

Internetworking Studio Srl
www.i-studio.it
3.122 messaggi dal 16 maggio 2002
Anche io ti consiglio di usare le variabili di sessione.
Se poi temi che non tutti i tuoi utenti abbiano i cookies attivati allora non usare ASP: PHP con le variabili di sessione si comporta in modo diverso, cioe' puoi passare l'id di sessione sulla query_string (nella variabile SID) e il server ti mostra i dati della tua sessione. In questo modo le puoi utilizzare anche se il visitatore ha i cookies disattivati.. questo imho e' un grande vantaggio di php rispetto alle asp.. io poi di php ho solo letto qualcosa, ma come inizio e' promettente.

The day Microsoft makes something that doesn't suck
is probably the day they start making vacuum cleaners.

Get caught!
Get caught again!

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.