Spero che dal titolo si capisca tutto. :)

Io ho provato ad usare HTDIGEST e HTPASSWD per creare 2 file da usare su server Apache in Windows di Aruba. Speriamo funzionino, ma dicono che sia una opzione non possibile su tal server.

Non mi ricordo + bene cosa siano i "realm"?!
Mi rinfrescate la memoria plz?!

Infatti ho creato i file:
.htaccess e .htpasswd

ma nulla da fare.

Avete consigli per dare un minimo di sicurezza ad un'area privata?! :confused: :mc:

Quali sono le controindicazioni della pw nel codice php ? :confused:

Quali sono le controindicazioni della pw nel codice php ? :confused:
BOH io penso nessuna, inoltre la mia PWD è lunga 20 char!!

La password con apache è piu comoda. Non devi fare include in tutte le pagine e funziona anche per file non .php, inoltre la password non è imagazzinata in chiaro sul file.
Se purtroppo ti tocca fare qualcosa in php ricordati soltanto di fare qualcosa tipo $password_giusta = "machebellapasswordlunga";
Piuttosto usa l'sha1 della password. evita l'md5 che in giro ci sono database per fare il reverse-lookup di stringhe md5 e potrebbero risalire alla password in qualche secondo.

ciao ;)

evita l'md5 che in giro ci sono database per fare il reverse-lookup di stringhe md5 e potrebbero risalire alla password in qualche secondo.
Bella questa...non lo sapevo...

Bella questa...non lo sapevo...
Si perchè è un hashing e non un crittografia, per quella servirebbe PGP.
CMQ pensavo fosse meglio l'autenticazione di Apache che l password inmmersa nel codice PHP, ma forse no è meglio il contrario. :stordita:

Si perchè è un hashing e non un crittografia, per quella servirebbe PGP.
Anche una crittografia, avendo a disposizione un numero elevato di testi crittografati con la stessa chiave, è attaccabile come l'hashing...

Un hashing ben progettato di per se non è attaccabile, se non con un reverse database... Non sapevo che esistesse tale database...

Un hashing ben progettato di per se non è attaccabile, se non con un reverse database... Non sapevo che esistesse tale database...
Purtroppo md5 oltre ad avere alcuni attacchi conosciuti ha anche molti database online quindi sta diventando uno degli algoritmi piu deboli. E pensare che è anche uno dei piu usati. :(

ciao ;)

Purtroppo md5 oltre ad avere alcuni attacchi conosciuti ha anche molti database online quindi sta diventando uno degli algoritmi piu deboli. E pensare che è anche uno dei piu usati. :(

ciao ;)
Si ok, ma morale della favola allora ho fatto bene o no a immergere la PWD nel codice PHP?!

Nel codice php va bene, ma mettici l'hashing della password con sha1 a questo punto...

Nel codice php va bene, ma mettici l'hashing della password con sha1 a questo punto...
CMQ se vogliono e catturabile da Sniffer vero?!
Hash o non hash se azzeccano il datagram viene carpito ugualmente, mi sa che non c'è altra soluzione per aplz web su server in Aruba ...

CMQ se vogliono e catturabile da Sniffer vero?!
Hash o non hash se azzeccano il datagram viene carpito ugualmente, mi sa che non c'è altra soluzione per aplz web su server in Aruba ...
E' chiaro che se sniffano una password valida sei fregato...ma non è così semplicere fare sniffing...