da Zane » ven lug 16, 2004 2:40 pm
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da mciasco</i>
<br />Infatti SSL sfrutta chiavi asimmetriche vero?<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Precisamente<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">
- se faccio uno script lato server inevitabilmente poi questo deve creare una form e inviare i dati (password!!) di nuovo ad un altro script lato server ma i dati saranno in chiaro (è il caso del vostro sito giusto?)<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Si: la transazione client-server è in chiaro: la password è solamente salvata crittata
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">
- potrei fare due script da far scaricare ad ogni utente che li utilizzerà come programma di logon sicura. <hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Questa potrebbe essere una strada, ma tutto dipende quanti accessi hai: se è un sito privato, puoi sicuramente adottarlo, ad esempio utilizzando un approccio RSA a chiave pubblica, in cui ogni client si genera chiave pubblica & privata, e tu controlli solo che la richiesta di login sia "firmata": questo è, in linea di massima, proprio quello che fa SSL in automatico.
Purtroppo però è richiesta l'iterazione con l'utente, che deve generarsi le chiavi: se hai un sito pubblico la cosa è impraticabile..<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">
Il discorso di usare una chiave simmetrica è ingestibile perché dovrei concordare personalmente una chiave segreta con ogni utente!!!<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Inoltre la trasmissione della chiave dovrebbe essere obbligatoriamente in chiaro: ti proponevo questo approccio in caso fossi tu sysadmin dei client che devono accedere<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Ma esiste la possibilità di cifrare qualcosa con javascript!??!?!?<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Questo proprio non lo so, ma anche così la cosa non sarebbe così semplice: dovresti generare una chiave al volo, la validazione sarebbe complessa da gestire...insomma, da parte mia ti consiglio o di adottare il supporto SSL (se ti è possibile) altrimenti la vedo decisamente impraticabile..