In due articoli precedenti abbiamo visto dei sistemi di login in ASP basati su XML oppure sul confronto tra due costanti. Vediamo adesso un sistema basato su database e vediamo come renderlo sicuro contro problemi di sicurezza noti come l’SQL Injection oppure il banale tentativo di uno smanettone che, magari per gioco, prova a frodare il sistema ed autenticarsi in maniera illegittima.
Costruiamo innanzitutto nel database di prova (ad esempio database.mdb) la tabella utenti corredata dai campi id (Contatore), username (Testo, lunghezza 10) e password (Testo, lunghezza 10). Naturalmente ognuno poi aggiungerà alla tabella tutti i dati personali degli utenti che ritiene opportuno, ma per l’esempio ci limitiamo a quelli necessari all’autenticazione.
(continua…)
Con un po di fantasia, e con l’oggetto XMLDOM, possiamo creare una serie di interessanti applicazioni basate su XML, utilizzando ASP come linguaggio di interfaccia. L’oggetto di questo articolo è un sistema di autenticazione, o che dir si voglia di login, basato su un file XML di cui presento la struttura, contenuta all’interno del file login.xml: (continua…)
Analizziamo in questo articolo un semplice metodo per realizzare un’area di accesso riservato senza ricorrere ad alcun database. Utilizzeremo un semplice modulo HTML per permettere il login: immaginiamo di essere i soli sul nostro sito ad avere accesso a determinate informazioni contenute in determinate pagine,
Creiamo all’interno della cartella privata il file index.html e corrediamolo del seguente codice HTML: (continua…)
I sistemi Windows NT (e derivati) utilizzano un sistema di autenticazione gestito direttamente da IIS, mediante la visualizzazione di una maschera in una finestra indipendente del browser, generata da un ActiveX, che chiede l’inserimento delle credenziali di accesso (username, password ed opzionalmente anche il dominio), prima di consentire l’accesso ad una determinata area di un sito.
In altre parole si fa richiesta di un’autenticazione di rete. Le credenziali sono registrate direttamente sul Web Server (o nel dominio) e non in un database, almeno in teoria.
(continua…)
Le espressioni regolari per l’implementazione di controlli sulle stringhe permettono di definire un pattern tale da consentire (o inibire, a seconda dei casi) l’utilizzo, ad esempio, di soli caratteri alfanumerici. L’utilizzo di una simile espressione regolare torna particolarmente utile in fase di iscrizione di un utente ad un proprio servizio per consentire il solo utilizzo di caratteri alfanumerici per le stringhe rappresentanti username e password, in modo che nessun utente smanettone possa provare una SQL Injection utilizzando caratteri come maggiore e minore o l’apice. E’ vvio che un simile controllo va previsto anche in fase di login.
(continua…)
