2008/4/27 Manlio Perillo <[EMAIL PROTECTED]>: > No, mi riferivo alla tua ipotesi che "qualsiasi patch di un qualsiasi > > browser non ti tolga il terreno da sotto i piedi".
Mi era venuto in mente che IE5 aveva problemi con HTTP Digest > Il metodo è semplice: quando visiti una url speciale per il logout, > generi una risposta 401 marcata come "stale" e con un nuovo nonce che > contiene, all'inizio (ad esempio), la stringa "logout". > > Quando il client vede che la risposta è stale, computa di nuovo l'hash > con il nuovo nonce (però senza richiedere la password all'utente) e > rimanda indietro il nuovo nonce e gli altri campi. > > Quindi lato server quando vedi un nonce che comincia con "logout" sai > che devi considerare l'utente come non autenticato. > > Come detto è un piccolo trucco, il browser ti sta comunque mandando le > credenziali corrette. > > Comunque l'ho testata con tutti i browser possibili (escluso Safari) e > sembra funzionare. > > Credimi, non avere di mezzo i cookie ed essere comunque garantiti per la > sicurezza è un bel sollievo ;-). Sicuramente, magari provo questa soluzione, anche se rimangono almeno due problemi: - non è possibile dare uno stile alla finestraccia di username e password del browser - l'overhead del fatto che il client continua a mandare il nonce anche quando non serve > Peccato che l'utente debba "subire" la finestra del dialogo del browser > per autenticarsi (ci sono anche altri problemi minori come la minore > flessibilità rispetto ai cookie nella gestione dei domini, ed il fatto > che è supportato solo md5 per l'hash). Ecco Thanks per l'input! -- Lawrence, stacktrace.it - oluyede.org - neropercaso.it "It is difficult to get a man to understand something when his salary depends on not understanding it" - Upton Sinclair _______________________________________________ Python mailing list Python@lists.python.it http://lists.python.it/mailman/listinfo/python
