Autentificarea pe bază de formular HTTP + HTML, colocvial numită autentificare pur și simplu pe bază de formular, este o tehnică prin care un site web utilizează un formular web pentru a colecta, și ulterior autentifica, informații de acreditare de la un agent utilizator, de obicei, un browser web.
Interacţiunea
Etapele tehnicii sunt:
- Un agent utilizator neautentificat solicită o pagină web de pe un site web, prin protocolul HTTP.
- Site-ul returnează o pagină web HTML agentului utilizator neautentificat. Pagina web constă minim dintr-un formular web HTML care solicită utilizatorului numele de utilizator și parola, împreună cu un buton etichetat „login” sau „submit”.
- Utilizatorul completează numele de utilizator și parola, iar apoi apasă butonul de trimitere.
- Agentul utilizator trimite datele din formularul web (care include numele de utilizator și parola) către serverul web.
- Implementarea site-ului, care rulează pe serverul web, efectuează anumite operațiuni de verificare și validare a datelor de pe formular. Dacă rezultatul este corect, site-ul consideră că agentul utilizator ca autentificat.
Considerente de adopție
Autentificarea pe bază de formular HTTP + HTML este, fără îndoială, tehnica de autentificare a utilizatorilor cea mai raspândită pe World Wide Web în prezent. Aceasta este alegerea pentru aproape toate site-urile wiki, forumuri, site-uri bancare/financiare, site-uri de comerţ electronic, motoarele de căutare web, portaluri web, și alte aplicații comune de server web.
Aceasta popularitate se datorează aparent webmasterilor sau a patronilor lor care doresc un control cu granulaţie fină a prezentării și comportamentului solicitării de date de autentificare, în timp ce casetele de dialog implicite pop-up (pentru autentificare de acces de bază HTTP sau autentificare de acces digest) oferite de multe browsere web nu permit potrivirea exactă. Precizia dorită poate fi motivată de cerințe juridice (cum ar fi branding) sau problemele legate de implementare (de exemplu, configurația implicită a software-ului, precum site-urile wiki, phpBB, Drupal, WordPress, etc.) Indiferent de rațiune, nicio firmă sau ajustări ale experienţei de utilizator nu trebuie să renunţe la a ţine cont de mai multe considerente de securitate ale acestui proces de autentificare.
Considerente de securitate
- Acreditările utilizatorului sunt transmise în clar pe site-ul web, dacă nu se iau măsuri, cum ar fi utilizarea Transport Layer Security (TLS).
- Tehnica este în esență ad-hoc, prin aceea că efectiv niciuna din interacțiunile dintre agentul utilizator și serverul web, altele decât HTTP și HTML, nu sunt standardizate. Mecanismul de autentificare efectiv angajat de către site este, în mod implicit, necunoscut pentru utilizator și agentul utilizator. Formularul în sine, inclusiv numărul de câmpuri editabile, și conținutul dorit al acestuia, sunt în întregime dependente de implementare și funcţionalitate.
- Această tehnică este în mod inerent permisivă înşelăciunilor electronice, sau vulnerabile pentru criminalii deghizați ca parte de încredere în procesul de autentificare.
Cod
Lasă un răspuns