[ruby-it] [rails] autenticazione/login

[Paolo Montrasio]

Firefox ha un'estensione chiamata web developer toolbar. Installa per 
l'appunto una toolbar con un menu Miscellaneous, Clear Private Data..., 
HTTP Authentication che cancella le credenziali di autenticazione HTTP 
senza dover chiudere il browser. Comodo per chi sviluppa.

A parte questo, trattandosi di un'applicazione per un solo utente le 
fasi di login e di logout possono essere facilmente controllate per cui 
anche chiudere il browser potrebbe essere accettabile. L'unico vero 
problema è l'invio in chiaro della password, cosa che fanno anche i 
soliti form di autenticazione web a meno che i dati non viaggino su 
https.

Di nuovo, trattandosi di un'applicazione mono utente potresti generarti 
il tuo certificato per l'HTTPS e installarlo sul server e sul client. In 
questo modo fai SSL senza pagare Verisign & Co.

Paolo

Simone Federici wrote:
> la basic authentication è gestita dal browser l'autenticazione passa
> codificata nell'header della request
> la codifica è base64, e ovviamente esiste una decodifica... non stiamo
> parlando di criptatura quindi
> non menzionerei la sicurezza quando si parla di basicautentication.
> 
> non è sicura, o meglio se il tuo cliente passa da un proxy o c'è un 
> attacco
> man in the middle, chi è in mezzo ha la possibilità di loggarsi con il 
> tuo
> account senza nessuna fatica.
> 
> se invece c'è SSL, reperire la password che passa codificata è molto più
> difficile.
> rimane però il problema del logout
> 
> 
> Simone Federici
> -----------------------------------
> Architect
> 
> 
> 
> 2010/1/11 Luca Reghellin <email a reghellin.com>

-- 
Posted via http://www.ruby-forum.com/.