Il modo migliore per accedere automaticamente all'applicazione web

0

Questa domanda potrebbe essere intitolata "Inserisci hash e sale password nella stringa di query?" anche per essere meno soggettivi, ma il punto rimane lo stesso:

Voglio creare una specie di applicazione di avvio per la mia applicazione web, che dovrebbe consentire all'utente di specificare le sue credenziali per accedere automaticamente alla mia applicazione web.

Da quando il testo in chiaro è quasi sempre orribile, ho pensato di passare l'hash della password e passare la querystring alla mia applicazione per eseguire un accesso automatico. Qualcosa di simile a: link

Ma mi chiedo se esiste un modo migliore o più sicuro invece di fare questo?

    
posta SeToY 10.05.2013 - 01:08
fonte

3 risposte

3

Basta fare un POST HTTPS nella tua applicazione di avvio, passando normalmente il nome utente + la password. Ecco come funziona il tuo browser web.

    
risposta data 10.05.2013 - 01:57
fonte
1

Non inviare nemmeno le password con hash in testo in chiaro e soprattutto non nell'URL. Un token a tempo limitato è molto meno prezioso per un utente malintenzionato.

Utilizza un generatore casuale protetto da crittografia per creare un token univoco per ciascun utente. Avrai bisogno di capire come emettere nuovi token quando scadono quelli vecchi. Questo è il modo in cui funziona la maggior parte dei collegamenti di login e-mail.

    
risposta data 10.05.2013 - 01:31
fonte
0

Anche l'hashing della password e l'invio tramite GET o POST è una violazione grave se la invii solo via HTTP - chiunque può intercettare la richiesta in chiaro e utilizzare quel valore hash per accedere da qualunque altro utente.

Se hai intenzione di fare questo genere di cose, dovresti assolutamente usare HTTPS - con un certificato adeguato da un'autorità riconosciuta. In questo modo, le informazioni sono crittografate e molto più difficili da intercettare (SSL può ancora essere decodificato da terze parti, ma una lunghezza e una configurazione della chiave decenti dovrebbero rendere questa operazione molto costosa).

    
risposta data 10.05.2013 - 02:17
fonte

Leggi altre domande sui tag