PDA

View Full Version : Metodo POST


pippo985
19-02-2003, 09:26
Ciao a tutti,
sto realizzando un'applicazione WEB Cgi che si appoggia su un DB.

Nella pagina iniziale l'utente inserisce la password ed attraverso il metodo POST la faccio arrivare alla seconda pagina dove effettua una connessione.

Da quest'ultima passo ad altre pagine portandomi dietro la password (sempre attraverso il metodo POST), ma ho notato che visualizzando il codice HTML con il browser la password è in CHIARO.

Consigli per non far accadere tutto ciò?

Gemini77
19-02-2003, 09:36
Criptala ! ma non sapendo programmare in Cgi non saprei come aiutarti

cionci
19-02-2003, 10:54
Originally posted by "Gemini77"

ma non sapendo programmare in Cgi non saprei come aiutarti
CGI non è un linguaggio di programmazione...è solo un metodo per passare i parametri dal server web ad una applicazione ;)

Comunque chiaramente se vai a riscrivere la password in un FORM con il metodo POST visualizzando il codice HTML sarà in chiaro...

Anche settare un Cookie non è il metodo migliore perchè la password passerebbe comunque in chiaro durante ogni richiesta...
Credo che la cosa migliore sia appunto codificare la password...o simulare una specie di sessione (come fanno PHP e ASP per intendersi)...

Ad esempio...appena l'utente entra sul sito potresti aggiornare una tabella con chiave primaria uguale all' MD5 della stringa formata da nomeutente, password, ora e data e indirizzo IP...
In questo modo ti porti dietro solo l'MD5 (anche più semplicemente con un cookie) che usi per accedere alla tabella che contiene anche il nome utente in chiaro...ed in questo modo puoi identificare univocamente l'utente...

L'unico problema è che in qualche modo questa tabella la dovresti ripulire o quando l'utente fa il logout dall'applicazione (e questo non è un problema) o dopo unc erto tempo di inattività dell'utente (l'utente potrebbe aver chiuso il browser)....

Gemini77
19-02-2003, 11:50
Originally posted by "cionci"


CGI non è un linguaggio di programmazione...è solo un metodo per passare i parametri dal server web ad una applicazione ;)


Lo sapevo :sofico: ... ho usato impropriamente il verbo "programmare" :D ho reso cmq l'idea :)

per ASP ad esempio ci sono diverse funzioni per criptare stringhe SHA_256 la + carina e semplice che ho visto ... ma esistono funzioni con lo stesso algoritmo anche per altri linguaggi

PS
Cionci non mi uccidere se parlo da profano :) :rolleyes: :)

cionci
19-02-2003, 12:04
No...perchè profano...hai detto bene...
Però MD5 è più comodo perchè non contiene l'informazione, ma soltanto la sua "impronta" ed è a lunghezza costante...

pippo985
19-02-2003, 12:28
Tenete presente che cmq sono pagine per uso interno e cmq per accedervi serve appunto la password. Però mi scocciava questa password in chiaro :) :) :) .

Cmq grazie per l'aiuto: appena avrò un po di tempo proverò con PHP.


Ciao. ;)