[Python] Programmazione web

[Lawrence Oluyede]

2008/4/27 Manlio Perillo <manlio_perillo a libero.it>:
>  No, mi riferivo alla tua ipotesi che "qualsiasi patch di un qualsiasi
>
> browser non ti tolga il terreno da sotto i piedi".

Mi era venuto in mente che IE5 aveva problemi con HTTP Digest

>  Il metodo è semplice: quando visiti una url speciale per il logout,
>  generi una risposta 401 marcata come "stale" e con un nuovo nonce che
>  contiene, all'inizio (ad esempio), la stringa "logout".
>
>  Quando il client vede che la risposta è stale, computa di nuovo l'hash
>  con il nuovo nonce (però senza richiedere la password all'utente) e
>  rimanda indietro il nuovo nonce e gli altri campi.
>
>  Quindi lato server quando vedi un nonce che comincia con "logout" sai
>  che devi considerare l'utente come non autenticato.
>
>  Come detto è un piccolo trucco, il browser ti sta comunque mandando le
>  credenziali corrette.
>
>  Comunque l'ho testata con tutti i browser possibili (escluso Safari) e
>  sembra funzionare.
>
>  Credimi, non avere di mezzo i cookie ed essere comunque garantiti per la
>  sicurezza è un bel sollievo ;-).

Sicuramente, magari provo questa soluzione, anche se rimangono almeno
due problemi:

- non è possibile dare uno stile alla finestraccia di username e
password del browser
- l'overhead del fatto che il client continua a mandare il nonce anche
quando non serve

>  Peccato che l'utente debba "subire" la finestra del dialogo del browser
>  per autenticarsi (ci sono anche altri problemi minori come la minore
>  flessibilità rispetto ai cookie nella gestione dei domini, ed il fatto
>  che è supportato solo md5 per l'hash).

Ecco

Thanks per l'input!

-- 
Lawrence, stacktrace.it - oluyede.org - neropercaso.it
"It is difficult to get a man to understand
something when his salary depends on not
understanding it" - Upton Sinclair