mercoledì 13 aprile 2011

Autenticazione e telepatia

Il testo della provetta chiedeva di svolgere l'esercizio sulla autenticazione HTTP mantenendo le sessioni con i cookie, non con URL rewriting (basta leggere il testo), ma ho considerato corretti anche gli svolgimenti fatti con URL rewriting.

Alcuni hanno però introdotto un errore molto grave.

  1. Il client chiede un documento protetto, con una request appartenente ad una sessione; il server risponde con un form;
  2. Il client invia una request con le credenziali; il server risponde con il documento protetto richiesto in precedenza

Segue il traffico corrispondente al punto 2:


Domanda: come fa il server a sapere che quando riceve una richiesta verso credenziali.asp deve rispondere con il documento i3.gif ?

Telepatia ?

(l'errore è che la request POST deve contenere l'identificatore della sessione utilizzata al punto 1; qui non c'è nessun identificatore)
Posta un commento