Come non fare una form di login

Oggi sono capitato davanti ad un bell’esempio di come non dovrebbe essere fatta una form di login su un sito web, e voglio condividerlo con voi.

Questo esempio contiene due errori: un errore di sicurezza, ed un errore di comunicazione.

L’errore di sicurezza è visibile immediatamente per tutti quelli che hanno un minimo di dimestichezza con la questione: il sistema di autenticazione ha appena comunicato ad un eventuale attaccante che sì, esiste proprio un utente che si chiama poluz! Ora non resta che «beccare» la password. Che bravo, ha appena ridotto di più del 50% il lavoro di un attaccante: ora non deve più indovinare username e password in contemporanea, gli basta scoprire solo la password perché lo username l’ha confermato il sito stesso.
Nei messaggi di errore si dice solo che username e password sono sbagliati, non quale delle due è errata.

Parlando di messaggi d’errore, arriviamo al secondo punto, ovvero quello che riguarda la comunicazione. Al contrario del punto precedente, questa è una cosa che notano di più le persone che non sanno nulla di programmazione per il web. Le persone che conosco l’argomento, invece, potrebbero non notarlo.
Cosa significa esattamente «1 error prohibited the user session from be saved»? Cosa capisce un utente qualunque del salvataggio delle sessioni utente? Questo è un messaggio in tecnichese scritto da un baldo programmatore che non è stato, evidentemente, vagliato da un essere umano normale. Booo!

Articoli simili:

• OpenID 1 / Cos'è, come si usa, come creare indirizzi fighi
• OpenID 2 / La sicurezza di OpenID
• Sai riconoscere le e-mail di phishing?
• Simpatie mattutine
• Lettera aperta al Governo per fare chiarezza su Italia.it