La gestione di un’applicazione Web che prevede una fase di login deve necessariamente mettere a disposizione un meccanismo che permetta autonomamente agli utenti dell’applicazione stessa di cambiare la password in qualsiasi momento.
Naturalmente la password in questione deve sempre e comunque rispettare degli standard di sicurezza imposti all’atto dell’iscrizione e rispettati anche in fase di login, oltre che, naturalmente in fase di cambio della password.
E’ ormai nota a tutti l’esistenza di programmi in grado di scaricare interi siti che consentono all’utente la navigazione offline (direttamente sul proprio computer) come Teleport PRO, Openbot, WebCopier, Webzip, HTTrack, Ecatch, e cosi via.
Questi software rescono a scaricare perfettamente codici HTML, CSS, Javascript, immagini e qualsiasi elemento di una pagina Web lato client.
Il codice di sicurezza CAPTCHA (acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart, ovvero test di turing pubblico e completamente automatico per distinguere computer e umani) in ASP può essere simulato semplicemente, ma è piuttosto difficile realizzarlo attraverso l’utilizzo di un’immagine.
Il motivo è che ASP non può, nativamente, interagire con i file grafici ma necessita di librerie GD ad hoc che non tutti sanno utilizzare e non tutti i servizi di Hosting, anche se supportano ASP, hanno a disposizione, trattandosi per lo più di componenti a pagamento.
Il Cross-site scripting (o XSS) è un tipo di attacco (cui sono vulnerabili diversi siti web dinamici) che ha lo scopo di diffondere pericoli di vario genere sfruttando la visbilità di un sito lecito (vittima dell’attacco).
Gli attacchi XSS sfruttano, infatti, le possibilità di input della pagina (querystring, post, cookie,…) per "inniettare" codice pericoloso (generalmente Javascript) all’interno di un dato sito al fine di colpirne l’utenza.
In due articoli precedenti abbiamo visto dei sistemi di login in ASP basati su XML oppure sul confronto tra due costanti. Vediamo adesso un sistema basato su database e vediamo come renderlo sicuro contro problemi di sicurezza noti come l’SQL Injection oppure il banale tentativo di uno smanettone che, magari per gioco, prova a frodare il sistema ed autenticarsi in maniera illegittima.
Costruiamo innanzitutto nel database di prova (ad esempio database.mdb) la tabella utenti corredata dai campi id (Contatore), username (Testo, lunghezza 10) e password (Testo, lunghezza 10). Naturalmente ognuno poi aggiungerà alla tabella tutti i dati personali degli utenti che ritiene opportuno, ma per l’esempio ci limitiamo a quelli necessari all’autenticazione.
ASPcenter.net è il blog italiano su ASP, ASP.Net, VB.Net, C# e Visual Studio - Funziona con WordPress