Buongiorno Orlando,

attualmente esistono molti server che supportano il PHP anche gratuiti, il mio consiglio è quello di provare a cambiare server, utilizzandone uno con il supporto PHP.

Un nostro partners è One.com e se hai comprato Website X5 Evolution 9 hai un anno gratuito su questo hosting provider.

No. Non ha senso spostare la verifica nome/password sul lato client ... chiunque potrebbe visualizzare il codice per "scovare" i dati reali .... a meno che non si usino tecniche per offuscare/crittografare il codice, ma .... obbiettivamente, mi sembra una cavolata. Andrei cauto anche con swishmax, l'swf viene scaricato sul client ed è sempre "decompilabile".

La verifica di nome e password presuppone che si possano confrontare i dati immessi nel browser con quelli memorizzati da qualche parte.

La verifica può essere fatta in chiaro, come fa icm, e quindi da qualche parte vengono memorizzati i dati "in chiaro" e confrontati con quelli immessi. Chiunque abbia accesso alla struttura che contiene i dati in chiaro riesce a conoscerli, in un modo o nell'altro. Ma soprattutto, la verifica presuppone che i dati immessi siano confrontati con l'intero database delle credenziali, quindi anche quelle degli altri utenti.

La verifica viene fatta con un qualsiasi algoritmo di HASH che ne codifica i valori chiaro per fornirne una stringa pseudo-crittografata. Quindi nella solita struttura dei dati vengono memorizzati i dati crittografati e l'atto della verifica presuppone che i dati immessi vengano a loro volta crittografati e confrontati con quelli nel database. Questo è il sistema solitamente usato. Tuttavia è da considerare che ad una stessa codifica possono corrispondere più valori "in chiaro", ovvero due password possono fornire la stessa stringa codificata. E' un fatto del tutto normale, ma che comporta una riduzione dello spazio delle soluzioni se si decide di eseguire un attacco di tipo brute-force per ritrovare i dati. E' un sistema comunemente utilizzato da tantissime applicazioni e ne soffrono persino i prodotti office di microsoft. E' assolutamente fisiologico.

Da queste due premesse vien fuori un solo teorema e cioè che se si ha in mano la struttura dei dati, in un modo o nell'altro ed in un tempo più o meno lungo, si ricavano i dati degli utenti, tutti gli utenti.

Se la verifica delle credenziali viene svolta dal meccanismo cookie/js ... tutto il codice, struttura dei dati compresa, è perfettamente leggibile ... http://www.serzio.it/evo9/cms/res/x5engine.js ... per i cookies è la stessa cosa.

Se si effettua tramite file di flash (swishmax) il discorso è simile:

... tratto dall'swf da te pubblicato nell'esempio di qualche post più sopra che ho "decompilato" con un prodotto facilmente reperibile in rete ... ce ne sono decine.

I dati si ricavano dalla decodifica del file swf e quindi siamo punto al punto di partenza.

Il trucco è di evitare che i dati, e quindi la validazione delle credenziali, siano spostati sul lato client, ovvero quello che ti ostini a sostenere.

E quindi la validazione DEVE rimanere in un posto non accessibile al client. Il webserver, un server esterno diverso .... qualsiasi cosa che abbia la capacità di non mostrare la struttura dei dati al client.

L'unico sistema più comodo nel nostro caso è quello che fa uso del php.

Anche in questo caso, spero che la chiacchierata sia stata utile per capire qualcosa di più di cosa si cela "dietro le quinte". 

http://www.unofficialwsx5.com

Siamo tutti d'accordo nel dire che website ha avuto l'indiscusso merito di trasformare chiunque in uebmaster (con la scherzosa "u" piuttosto che "w"), anche quelli senza alcuna conoscenza di html, php, css etc etc ... ma dobbiamo prendere atto che molti si cimentano in realizzazioni che richiederebbero ben altre competenze.

Quello delle aree riservate è un tema estremamente delicato, non stiamo parlando di una galleria fotografica che al massimo si vede male o non funziona, ed il fatto che viene trattato incoscientemente con una superficialità eccessiva mi spinge a mettere i puntini sulle "i".

Basti pensare ad un semplice sito web di uno studio medico che decida di rendere disponibili  informazioni per i propri assistiti. Oppure un laboratorio di analisi che decida di consegnare i referti tramite web. Oppure un negozio, o uno studio legale, una scuola .... posso farti molti esempi in cui una incosciente imperizia possa consentire la divulgazione di informazioni riservate causando danni immensi ai clienti ed ai responsabili della privacy. Tutte situazioni possibili, nella stessa galleria dell'answers ho visto diversi siti web di questo tipo e purtroppo in tempi di crisi economica non sono pochi quelli che decidono per il "faidate" piuttosto che affidarsi a professionisti veri. 

Una volta chiarita l'importanza di questo argomento, passo a chiarire la mia testardaggine nel non farti passare l'informazione sbagliata che una area riservata possa essere realizzata senza uno strumento minimo che può essere un php o un asp. 

Mi piacerebbe che fosse ben chiaro che il sistema da te proposto non consente una protezione accettabile dei contenuti di una pagina. Con js/cookie ... non ci perdere nemmeno un secondo in più di tempo .... non è possibile ottenere qualcosa di accettabile. Non sono accettabili tutte le situazioni in cui si ha la gestione della validazione sul lato client. Con swf, stessa cosa, il file viene eseguito sul client e quindi proprio questa cosa lo rende insicuro.

Poi ... ciascuno faccia le sue consapevoli scelte, ma e' eticamente corretto specificare che esiste un rischio per la riservatezza.

PS. Così come ho decompilato il tuo file, nella stessa maniera si può decompilare qualsiasi swf, come ho fatto molte altre volte per capire il funzionamento di qualche effetto interessante trovato in rete.

http://www.unofficialwsx5.com

Non ti fermare alle apparenze. Il più delle volte ci sono reali motivi a spingere i "cretini" a fare quello che fanno. Te ne indico qualcuno:

1. scopo didattico. Lo faccio fare anche io ai miei "ragazzi" su server preparati allo scopo, per lo più su vmware, a titolo di esercitazione
2. furto di informazioni a scopo di lucro (evidentemente non è il tuo caso, visto che non hai dati da proteggere)
3. utilizzo della piattaforma "bucata" come punto di appoggio per scopi truffaldini (ad esempio sfruttando problemi simili a quello che pubblicai tempo fa su http://answers.websitex5.com/post/29745 )

Per questo è necessario fare ugualmente attenzione. 

http://www.unofficialwsx5.com