linux user group brescia
immagine del castello

Archivio della mailing list

PSQLsuMdke9/PGACCESS/HTML/PHP/Apache

marco ghidinelli marcogh a linux.it
Ven 25 Ott 2002 12:10:31 UTC 
On Fri, Oct 25, 2002 at 01:09:59PM +0200, Maurizio Paolini wrote:
> 
> > From: marco ghidinelli <marcogh a linux.it>
> >[...]
> > > > > "action" del tipo "http://.../pagina.php?tag=valore"; con il difetto
> >[...]
> > > pare che l'unica cosa da fare e' la cifratura.
> >[...]
> > ehm.. cifrando la stringa di get non si ottiene ne security ne privacy,
> 
> perche' no?  Intendo nell'esempio di cifrare il "valore" nell'esempio
> sopra (o analogamente nei tag "hidden").  Se si fa una cifratura 
> simmetrica usando una chiave nota solo al server mi pare che hai tutta
> la security e la privacy che vuoi.

ok, giro la domanda. cosa intendi per sicurezza e privacy?

sicurezza:
 1) del server
    usare una stringa crittata non aumenta la sicurezza che una persona non
    entri con l'accesso di un'altra in quanto le richieste http passano in
    chiaro a meno che non si usi ssl, e quindi se non usiamo ssl la login e
    la password di un tizio passano in chiaro x tutta internet e poi
    vengono crittati dal server.

 2) dell'utente
    non ha molto senso

privacy:
 1) del server:
    non ha molto senso

 2) dell'utente:
    privacy in questo caso significa: non voglio che la gente sappia cosa
    io sto leggendo/facendo.

    in questo caso la cifratura potrebbe avere senso, ma deve essere
    associata a qualcos'altro, infatti se io cifro "valore" ottengo sempre
    lo stesso dato cifrato, quindi non mi basta e devo associare qualche
    altra informazione. oppure possiamo considerare una sorta di keystream
    generator da entrambe le parti, ma a questo punto diventa praticamente
    un'ssl... quindi neanche in questo caso le cose mi tornano.

forse pero' non ho capito quello che intendi...

> Si, puo' darsi.  Pero' nulla vieta di costruire una form con il solo
> pulsante di "invio dati" e tutto il resto messo nei campi "hidden".

il campo hidden e' applicabile solo in caso di form, a questo punto devi
togliere ogni link e sostitirlo con un bottone...

> E' chiaro che l'utente smaliziato si puo' guardare il sorgente html,
> ma se i valori sono criptati tutto dovrebbe andare.  Non so poi se
> i browser piu' comuni possono mascherare il pulsante di invio dati
> come se fosse una anchor normale.

no, cioe'.. puoi associare a un bottone una immagine e questa diventa
cliccabile...

> No!!! i frame no!

li odio anch'io ma in alcuni casi sono utili...

-- 
BOFH excuse #449:

greenpeace free'd the mallocs

Maggiori informazioni sulla lista Lug