La gestione di un’applicazione Web che prevede una fase di login deve necessariamente mettere a disposizione un meccanismo che permetta autonomamente agli utenti dell’applicazione stessa di cambiare la password in qualsiasi momento.
Naturalmente la password in questione deve sempre e comunque rispettare degli standard di sicurezza imposti all’atto dell’iscrizione e rispettati anche in fase di login, oltre che, naturalmente in fase di cambio della password.
Il codice di sicurezza CAPTCHA (acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart, ovvero test di turing pubblico e completamente automatico per distinguere computer e umani) in ASP può essere simulato semplicemente, ma è piuttosto difficile realizzarlo attraverso l’utilizzo di un’immagine.
Il motivo è che ASP non può, nativamente, interagire con i file grafici ma necessita di librerie GD ad hoc che non tutti sanno utilizzare e non tutti i servizi di Hosting, anche se supportano ASP, hanno a disposizione, trattandosi per lo più di componenti a pagamento.
In due articoli precedenti abbiamo visto dei sistemi di login in ASP basati su XML oppure sul confronto tra due costanti. Vediamo adesso un sistema basato su database e vediamo come renderlo sicuro contro problemi di sicurezza noti come l’SQL Injection oppure il banale tentativo di uno smanettone che, magari per gioco, prova a frodare il sistema ed autenticarsi in maniera illegittima.
Costruiamo innanzitutto nel database di prova (ad esempio database.mdb) la tabella utenti corredata dai campi id (Contatore), username (Testo, lunghezza 10) e password (Testo, lunghezza 10). Naturalmente ognuno poi aggiungerà alla tabella tutti i dati personali degli utenti che ritiene opportuno, ma per l’esempio ci limitiamo a quelli necessari all’autenticazione.
Analizziamo in questo articolo un semplice metodo per realizzare un’area di accesso riservato senza ricorrere ad alcun database. Utilizzeremo un semplice modulo HTML per permettere il login: immaginiamo di essere i soli sul nostro sito ad avere accesso a determinate informazioni contenute in determinate pagine,
Creiamo all’interno della cartella privata il file index.html e corrediamolo del seguente codice HTML: (continua…)
Molte applicazioni Web si basano sull’autenticazione degli utenti per garantire un accesso sicuro e discreto ad aree riservate; ogni utente ha delle proprie credenziali d’accesso composte da una coppia di valori username e password.
Generalmente viene lasciato all’utente il compito di scegliere una password (ed è buona norma controllare che la stringa sia esclusivamente alfanumerica) ma esistono casi di particolare riservatezza in cui è consigliabile adottare una soluzione per cui non sia l’utente a scegliere la password ma è stesso il sistema, in fase di registrazione e creazione dell’account, a generare una password casuale in formato alfanumerico, ad esempio di 10 caratteri.
ASPcenter.net è il blog italiano su ASP, ASP.Net, VB.Net, C# e Visual Studio - Funziona con WordPress