::::Pulcipurpuree

Sto sperimentando le nuove funzionalità derivanti dall'uso degli algoritmi di crittografia applicati alle password. Vista l'importanza dell'innovazione, e vista l'eventualità di una retrocompatibilità non semplice, ho pensato bene di aumentare il numero di versione. Siamo quindi alla 4.0.

Le nuove prestazioni offerte all'utente sono essenzialmente

• la crittografia delle password
• il famigerato "Ricordami su questo computer"

In Situx 4.0 ho implementato una rosa di parametri, metodi e pezze per gestire il quadro in questione:

• fondamentali.salatura - nuovo parametro fondamentale ma non obbligatorio.
• utenti.iscrizione.crittografia - per scegliere uno fra i possibili metodi di crittografia supportati da Situx. Questo è effettivamente il parametro che accende tutto il baraccone della crittografia causando delle notevoli differenze di comportamento di Situx. Di default, per adesso, è spento. Ma mi piacerebbe metterlo acceso. Parliamone.
• utenti.iscrizione.auto_login - che accende il "Ricordami su questo computer".

Più altri due o tre parametri sussidiari (durata dei cookies, ecc).

Retrocompatibilità

---

Le versioni precedenti alla 4.0 non hanno la criptazione. Perché utenti.iscrizione.crittografia = "" di default. Ma se vogliono posson passare a una crittografia senza salatura, sarebbero "SHA1" e "MD5". Per queste due crittografie è disponibile la pezza sql, visto che anche MySql ha le funzioni SHA1() e MD5().

[Torna su] Siti nati già con la salatura e la crittografia

---

Invece le crittografie con salatura (e quindi molto più difficili da decriptare) devono essere impostate solamente in quei siti che non hanno utenti. Siti nati con /popcorn/. Nella fase 2 (pezze) si noterà infatti che la password di mario viene diversa a seconda dell'algoritmo scelto e della salatura usata.

La salatura è un marchio diverso da sito a sito fatto di caratteri casuali. Es "fow943o5w93ctmow93ctyojw78478n". In altre parole: un pastone. Questo pastone (lo stesso per tutto il sito) viene mescolato assieme alle password per creare i relativi pastoni.

Quando un utente si registra Situx prende la password inserita, la impasta assieme alla salatura e ottiene un pastone. Questo pastone viene salvato nel database accanto alla email, mentre la password viene dimenticata dal sistema. Non è salvata da nessuna parte.

Non cambiare mai la salatura o la crittografia in un sito dove ci sono già degli utenti registrati!

[Torna su] Ho dimenticato la password!

---

Se è attiva una qualche crittografia (utenti.iscrizione.crittografia diverso da "") non è possibile farsi spedire la password dal sito, nemmeno il pastone. Invece è possibile reimpostare la password. Questo è possibile con l'inserimento di un apposito codice (codice per la reimpostazione della password) che viene inviato per email e scade dopo qualche giorno.

[Torna su] Considerazioni finali

---

Alla fine se uno ti ruba il cookie diventa indistinguibile da te. Purtroppo non ho trovato il modo di ricavare il MAC Address del visitatore, che avrebbe potuto bloccare un furto di cookies. Ho considerato anche l'IP e l'user agent. Ma l'IP cambia, l'user agent può essere imitato.
Quindi concludo che l'utente finale, cliccando "Ricordami su questo computer", dà il consenso informato alla creazione di questi benedetti cookies. Dopodiché dovrà stare attento a non farseli fregare. Dopo tutto mi sembra che ciò sia anche fra i compiti di un buon browser. Lato server la cosa finisce qui.

Al di là dei cookies e delle violazioni maliziose. Il fatto che il sito non salvi le password è già, di per sé, una cosa più seria.