• User Newbie

    Consiglio per area riservata

    Buongiorno a tutti!
    Sono un webmaster neofita e mi sto dedicando alla creazione di un sito per un commercialista (mio fratello).
    Ho usato frontpage 2000 per realizzarlo.
    Il problema sorge riguardo all'area riservata. Inizialmente ho usato un sistema di autenticazione lato client in javascript ma mi sono reso conto essere ben poco sicuro per la riservatezza richiesta dalla importanza e "sensibilità" dei dati oggetto del passaggio (nella sola direzione studio => cliente) :mmm:
    Mi sono quindi messo a cercare un metodo più sicuro pur senza arrivare ai sistemi che usano le banche o la Cia...
    Dalla lettura di vari post deduco che sono consigliabili (per la sicurezza):

    • htaccess + htpassword;

    • php + database;

    • asp + database.Considerato che

    • ad ogni cliente devo far corrispondere una pagina personale in cui inserire i documenti richiestici, ho già spulciato un bel po' di script disponibili in rete e mi pare che siano solitamente per aree riservate a interi gruppi di iscritti mentre io devo indirizzare il cliente alla sua pagina specifica attraverso il login;

    • le pagine non devono essere accessibili solamente ricorrendo ad una ricerca nella cronologia come avveniva con il metodo iniziale e come mi sembra che accada anche usando htaccess;

    • il sito risiede su un server linux;

    • le mie capacità di programmatore sono ridotte.Innanzi tutto quale metodo mi consigliate con il migliore rapporto sicurezza/semplicità???
      Ringrazio in anticipo chi volesse aiutarmi.
      Phy


  • User

    Un metodo piuttosto semplice è memorizzare le password crittografate nel db mysql, all'autenticazione dell'utente fai partire una sessione durante la quale l'utente può vedere materiale disponibile per lui. Fai in modo che in caso di inattività di, tipo, 15 minuti la sessione si interrompa.

    Se vuoi (consigliato) imposti un limite di tentativi di accesso, per ogni user oppure per ogni computer che tenta l'accesso.

    Ci sarebbero anche metodi più complessi, ma credo che se fai bene questo, può già andare


  • User Newbie

    Ciao swenziw, grazie per l'interessamento!! Molto gentile!
    Non pensi che il metodo più semplice sia usare htaccess? Il mio server (altervista) me lo permetterebbe e dovrei solo trovare il modo di inserire la sessione nelle pagine riservate in modo da non farle caricare se non in possesso della password...
    Alternativamente mi sto orientando sull'integrazione di asp + db mysql, sembra sia la soluzione più semplice ed al tempo stesso efficace (anche se non conosco nè i db nè l'asp).
    Ma gli script asp visti sinora non permettono di indirizzare ogni cliente alla sua pagina personale e pensavo, magari, di inserire il nome dell'url personale nel database stesso in modo di legare ogni coppia user-pwd ad un solo url e trovare il modo di autenticare l'utente e indirizzarlo all'url ad esso associato. Pensi sia possibile?
    Il database l'ho già creato sul server usando un file .sql prelevato da uno script già pronto ma non interamente confacente alle mie esigenze. Quindi dovrò modificarlo, inserendo il campo che mi serve.
    Come vedi sono ancora in fase di orientamento e sto cercando di capirci qualcosa...
    Spero di non aver detto castronerie colossali
    Ciao!!


  • User

    @phy said:

    Ciao swenziw, grazie per l'interessamento!! Molto gentile!
    Non pensi che il metodo più semplice sia usare htaccess? Il mio server (altervista) me lo permetterebbe e dovrei solo trovare il modo di inserire la sessione nelle pagine riservate in modo da non farle caricare se non in possesso della password...
    Alternativamente mi sto orientando sull'integrazione di asp + db mysql, sembra sia la soluzione più semplice ed al tempo stesso efficace (anche se non conosco nè i db nè l'asp).
    Ma gli script asp visti sinora non permettono di indirizzare ogni cliente alla sua pagina personale e pensavo, magari, di inserire il nome dell'url personale nel database stesso in modo di legare ogni coppia user-pwd ad un solo url e trovare il modo di autenticare l'utente e indirizzarlo all'url ad esso associato. Pensi sia possibile?
    Il database l'ho già creato sul server usando un file .sql prelevato da uno script già pronto ma non interamente confacente alle mie esigenze. Quindi dovrò modificarlo, inserendo il campo che mi serve.
    Come vedi sono ancora in fase di orientamento e sto cercando di capirci qualcosa...
    Spero di non aver detto castronerie colossali
    Ciao!!

    Ma tu non devi inviare ogni cliente ad una pagina, ma è la stessa pagina che deve mostrare ad ogni cliente una cosa diversa