linux user group brescia

On Fri, Oct 25, 2002 at 09:40:30PM +0200, Maurizio Paolini wrote:
> 
> 
> L'esempio non calza con il caso specifico.  Si sta parlando di come fare
> in modo che il server possa passare dei dati al browser, che poi devono
> essere nuovamente passati al server con la form successiva.  La cifratura
> fa si che tali dati possano transitare sulla rete mantenento la privacy.
> 
> L'unica cosa che puo' fare un 'attacker' e' riproporre al server esattamente
> gli stessi dati che vede transitare; ma se la cosa e' fatta bene e' anche
> necessario che l'attacker effettui un 'ip spoofing' o qualcosa di simile.
> 
Il problema grosso e' che http non ha il concetto di `sessione'...
La soluzione tradizionale per questo problema e' di ricorrere a dei
cookies oppure a dei framesets (argh, quanto li odio questi!) opportuni.

In ogni caso, oltre all'IP ci deve essere anche un timestamp perche'
la cosa possa funzionare...
ovviamente se anche la comunicazione e' tutta criptata con SSL le cose
cambiano [ma, nota bene: nel caso di SSL si puo' definire una sessione
nei termini di `comunicazione che avviene mediante una chiave negoziata
ben definite'... in questo caso si puo' fare di meglio]

Ciao,
 lg


> mp