Show Posts
1
Italiano / login tramite pagina web
« on: August 18, 2006, 07:50:36 AM »
Allora, io ci ho perso un pò di tempo.
L'autenticazione avviene tramite Header HTTP.
Quando ci si autentica tramite la schermata del browser, questo Header HTTP viene creato dal browser stesso ed inserito correttamente nelle intestazioni.
Una scorciatoia per creare questa intestazione è possibile tramite URL (utente:password@dominio/cartella) che però viene accettato solo da Firefox e non da Internet Explorer.
Altra possibilità è quella di inviare noi l'intestazione tramite Javascript. Fatto e funziona, ma solo per quell'invio e non resta "fissato" nel browser per le pagine successive, quindi non è utilizzabile.
A questo punto abbandono lasciando però una considerazione.
Se HFS potesse leggere due cookie predefiniti, che sò... HFS_user e HFS_pass (anche codificati nello stesso modo in cui vengono utilizzati nell'Header HTTP, quindi stesso grado di sicurezza, bassissimo) ed utilizzarli in automatico come credenziali di accesso inserendole lui nell'intestazione ogni volta o altra scappatoia simile, noi potremmo settarli da Javascript e creare una pagina di autenticazione personalizzata senza utilizzare la schermata interna del browser.
Lancio il sasso, nascondo la mano e vedo cosa succede
L'autenticazione avviene tramite Header HTTP.
Quando ci si autentica tramite la schermata del browser, questo Header HTTP viene creato dal browser stesso ed inserito correttamente nelle intestazioni.
Una scorciatoia per creare questa intestazione è possibile tramite URL (utente:password@dominio/cartella) che però viene accettato solo da Firefox e non da Internet Explorer.
Altra possibilità è quella di inviare noi l'intestazione tramite Javascript. Fatto e funziona, ma solo per quell'invio e non resta "fissato" nel browser per le pagine successive, quindi non è utilizzabile.
A questo punto abbandono lasciando però una considerazione.
Se HFS potesse leggere due cookie predefiniti, che sò... HFS_user e HFS_pass (anche codificati nello stesso modo in cui vengono utilizzati nell'Header HTTP, quindi stesso grado di sicurezza, bassissimo) ed utilizzarli in automatico come credenziali di accesso inserendole lui nell'intestazione ogni volta o altra scappatoia simile, noi potremmo settarli da Javascript e creare una pagina di autenticazione personalizzata senza utilizzare la schermata interna del browser.
Lancio il sasso, nascondo la mano e vedo cosa succede