Domanda

Il mio commercio elettronico basato su Sar-At presenta quello che, per me, è un difetto. Quando un cliente rientra nel sito dopo alcuni giorni deve reinserire username e password. Io preferirei che si trovasse già riconosciuto, in modo che possa continuare subito ad acquistare. A meno che questo costituisca un problema di sicurezza. Come posso fare?

Risposta

Ogni visione di una pagina su un sito web sarebbe una visita a sé, se non esistesse la magia dei cookie. Una tecnologia semplice, innocua e largamente incompresa. Però, verrebbe da pensare, che ci vuole? Salviamo username e password in un cookie permanente e in questo modo alla prossima visita non ci sarà bisogno di reinserirla.

Si potrebbe fare, ma sarebbe una ingenuità pericolosa. Mi spiego. Il traffico da e per un sito web http viaggia "in chiaro", in forma completamente intercettabile. Per esempio, se mi fermo in un Internet Café e apro il tuo commercio elettronico sul mio portatile (tablet, smartphone o notebook), allora il mio browser manda i cookie al server in un formato che tutti gli altri avventori possono sbirciare senza problemi. Se ci fosse un cookie che contiene i dati con cui io commento il blog, qualsiasi altro avventore potrebbe copiarlo, impersonarmi e commentare a mio nome. O mettere prodotti nel carrello. O vedere la storia dei miei acquisti. O comprare merce a mie spese se esiste l'opzione dell'acquisto pre-pagato. No, così non va.

C'è un modo approvato dai maggiori esperti di sicurezza con cui può dare vita alla funzionalità ricordati di me. In sintesi: nel cookie mettiamo una password usa-e-getta, unica e casuale. Sul server ne esiste una copia cifrata. Quando il server vi vede tornare la verifica; se coincide la sostituisce immediatamente con un'altra che verrà consumata alla prossima pagina visitata; se non coincide deduce che un altro avventore del vostro Internet Café ve l'ha rubata e ve ne informa.

Sar-At, dalla versione 11.6, realizza proprio questo sistema, con una realizzazione da... primo della classe per sicurezza e affidabilità. Per attivarla, visitate il menu Sito, voce Sicurezza, e spuntate la casella in fondo (figura di apertura). A questo punto, nel menu Utilizzatori, selezionate il gruppo di visitatori registrati a cui volete consentire l'accesso senza reinserire le credenziali, e selezionate l'opzione consenti ai membri del gruppo di restare collegati indefinitamente (immagine qui sotto).

Ci si potrebbe chiedere perché la funzionalità vada abilitata a livello di gruppo. La risposta è che in un sito aziendale dove abbiamo un'area riservata per clienti, una per fornitori e una per dipendenti potremmo desiderare di attivare l'opzione solo per qualcuno.

Realizzazioni ancor più strutturate sono possibili, ma richiedono un piccolo sviluppo ad hoc. Per esempio pensate ad Amazon. Se tornate su quel sito verrete riconosciuti e salutati grazie a un sistema ricordati di me; potete navigarlo e fruire del suggerimenti personalizzati. Però non appena provate a fare qualcosa di impegnativo, come chiudere un acquisto — zac! — scatta la richiesta di username e password. Se desiderate qualcosa del genere per il vostro sito consultate con fiducia l'assistenza tecnica Accomazzi.net.