Corsi on-line

Il mod_auth_form di Apache 2.4

La versione 2.4.x del Web server HTTP Apache, recentemente rilasciata come release 2.4.1, offre il supporto per una serie di nuovi moduli, tra di essi voglio segnalare in questo post il mod_auth_form; esso in pratica consente di utilizzare un form HTML di autenticazione per la restrizione degli accessi. Tale funzionalità è stata introdotta in particolare per questioni inerenti l’usabilità e il miglioramento della user experience.

Per proteggere una risorsa tramite tale modulo, sarà necessario stabilire dove salvare la sessione che verrà generata al momento del login, inoltre, bisognerà definire il metodo di autenticazione da utilizzare; anlizziamo un semplice esempio:

AuthFormProvider file
AuthUserFile conf/passwd
AuthType form
AuthName realm
AuthFormLoginRequiredLocation http://www.nomesito.it/login.html
Session On
SessionCookieName session path=/
SessionCryptoPassphrase secret

Il codice mostrato funziona in pratica nel modo seguente: le informazioni relative al login saranno archiviate all’interno di una sessione attraverso il modulo mod_session_cookie, il tentativo di autenticazione verrà invece effettuato utilizzando il metodo “file” tramite il modulo “mod_authn_file“; in caso di fallimento, il risultato della procedura sarà una redirezione che riporterà alla pagina per l’accesso alla risorsa.

Come sottolineato dallo stesso team di sviluppo di Apache, le operazioni di autenticazione attraverso form dipendono dai moduli per le sessioni, questi potrebbero esporre a pericoli derivanti da attacchi basati su Cross Site Scripting, nello stesso tempo potrebbero rendere indebitamente disponibili informazioni personali; prima di abilitare le funzionalità per le sessioni, sarà quindi necessario accertarsi di disporre di una server appropriatamente configurato per garantire il più elevato livello di sicurezza possibile.

Post correlati
I più letti del mese
Tematiche