Considerazioni su un sistema di questionari sicuri basato sul web

Naviga le tue risposte
-1

Sto per iniziare a lavorare con il mio progetto di laurea, che è correlato a Questionari sicuri. Attualmente sto facendo ricerche su come sviluppare un sistema basato sul web che richiede agli utenti di accedere per autenticarsi in modo che ogni utente possa inviare feedback una volta, ma allo stesso tempo il feedback è anonimo.

Questa soluzione è molto simile allo scenario di votazione elettronica.

Esistono dei framework JavaScript che possono essere applicati per questo scenario in modo che l'utente possa ottenere un token dopo l'autenticazione che non può essere ricondotto al proprio feedback? o sarebbe meglio implementare una soluzione basata sull'algoritmo di qualsiasi soluzione esistente?

    
posta Ryan Sammut 30.01.2016 - 23:42
fonte

2 risposte

0

La tua domanda è molto generale e, per quanto ho capito, nient'altro che un'autenticazione regolare più l'anonimizzazione dei dati.

È sicuramente possibile garantire il non ripudio e l'anonimato con la pseudonimizzazione. Quello a cui ti riferisci è un normale sistema di controllo degli accessi che è incluso nella maggior parte delle strutture comuni. Nel caso in cui sia necessaria una soluzione più aziendale, è possibile implementare SSO con Kerberos, Sesame o Diameter. Ma per l'autenticazione e la gestione degli utenti, qualsiasi framework funzionerà. Quando un utente invia il suo feedback, semplicemente spoglia i dati utente e li raggruppa con altri risultati in un database.

    
risposta data 30.01.2016 - 23:54
fonte
-1
  1. Genera chiave - 64+ caratteri
  2. Chiave email
  3. Hash la chiave usando un PIN di cifre 4+ pre-inserito
  4. memorizza quell'hash in una tabella di database con 2 campi hash e a campo per dire
  5. se la chiave è stata attivata.
  6. L'utente fa clic sul collegamento (www.website.com/link.php?KEY={KEY})
  7. Richiedi all'utente di inserire un pin che hanno assegnato in precedenza, quindi hash il tasto lungo
  8. con un PIN fornito in javascript.
  9. Reindirizza a www.website.com/linkb.php?HASH={HASH}

- A questo punto - 

Hash can only be recovered if you know the salt (The pin) AND the KEY. One was email, one was set by the user. 

KEY is emailed so the email administrator would have this

PIN + HASH are stored in a database so the DBA has this. But they have no idea what goes to what.

  1. La pagina PHP contrassegna l'HASH come usato e genera un nuovo KEY

  2. Richiedi all'utente un CAPTCHA

  3. quindi utilizzando javascipt invia una richiesta AJAX a una pagina PHP contenente  the Hashed

  4. tasto utilizzando la risposta CAPTCHA come SALT e memorizzarlo  un altro database.

  5. Salva il nuovo HASH anche in un cookie

  6. La richiesta AJAX visualizzerà il modulo, l'utente lo riempirà su. L'utente fa clic su Invia, il modulo viene inviato e il cookie viene letto.

  7. La pagina PHP scrive su un file.

  8. Un cronjob contrassegna gli hash nel file utilizzato, che viene eseguito ogni 1  secondo. Il cron aggiorna la data / ora sul file.

  9. Elimina dati cookie.

risposta data 31.01.2016 - 02:30
fonte

Leggi altre domande sui tag

Autenticazione degli utenti controllando se la chiave può decodificare una frase vs controllando una password su un database [duplicato] Perché Cloudflare è un attacco MITM? [chiuso]