<div dir="ltr"><div>Vorrei chiedere al giornalista se e' disponibile per iPhone! ;)</div><div><br></div><div>BTW - Ottimo lavoro, Marcello!</div><div class="gmail_extra"><br clear="all"><div><div dir="ltr">~Simone<div>
<div><br></div></div></div></div>
<br><br><div class="gmail_quote">2014-07-24 8:38 GMT+01:00 Michele Pinassi <span dir="ltr"><<a href="mailto:o-zone@zerozone.it" target="_blank">o-zone@zerozone.it</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Marcello,<br>
<br>
oggi sei sul giornale :-)<br>
<br>
Michele<br>
<br>
Il 18/07/2014 12:07, Paolo Sammicheli ha scritto:<br>
> Il 17/07/2014 16:42, Marcello Semboli ha scritto:<br>
>> Ciao a tutti.<br>
>> Ho fatto una app android che fa votare la gente.<br>
>> Su un server tophost ci sono un paio di web service in php, uno che<br>
>> salva il voto, un altro che restituisce il totale dei voti in JSON.<br>
>> La app usa i due web service per registrare il voto e per leggere i<br>
>> risultati.<br>
>><br>
>> Non vorrei però che qualcuno scoprisse la url e si mettesse a buttarci<br>
>> dati falsi.<br>
>><br>
>> SSH temo di non poterlo usare, ho letto che tophost non lo supporta, e<br>
>> poi da una app usare ssh non è banale.<br>
>><br>
>> Pensavo di passare i dati come stringa criptata, ma è abbastanza inutile<br>
>> perché se io sniffo la url<br>
>> <a href="http://ciao.com/webservice1.php?key=ka2sjk3jsf4gsd6f" target="_blank">http://ciao.com/webservice1.php?key=ka2sjk3jsf4gsd6f</a><br>
>> è sempre una URL che posso copiare su un browser. Il server non si<br>
>> accorge che non proviene dalla app.<br>
>><br>
>> Avete una soluzione semplice?<br>
> Cifri (o firmi, se ti torna meglio) con una chiave asimmetrica la frame<br>
> dei dati che mandi al server con una chiave che nascondi dentro al<br>
> codice. Nel frame includi un timestamp in modo che se uno cattura<br>
> l'intera frame e la ritrasmette pari pari il server la rifiuta dopo un<br>
> tempo x (oppure uno uidd che il client genera e che il server si annota<br>
> per ricordarsi le frame ricevute e riconoscere eventuali duplicati).<br>
><br>
> L'unico modo che ha l'attaccante di andare sull'url e postare dati falsi<br>
> è disassemblare l'applicazione per catturare la chiave. Cosa che non è<br>
> improbabile se fossero transazioni finanziare ma trattandosi di<br>
> pronostici sul palio...<br>
><br>
> Ciao<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
"Il numero di parole conosciute e usate è direttamente proporzionale al grado di sviluppo della democrazia e dell'uguaglianza delle possibilità. Poche parole e poche idee, poche possibilità e poca democrazia; più sono le parole che si conoscono, più ricca è le discussione politica e, con essa, la vita democratica" Gustavo Zagrebelsky<br>
BLOG @ <a href="http://www.zerozone.it" target="_blank">www.zerozone.it</a><br>
<br>
</font></span><br>_______________________________________________<br>
Tecnica mailing list<br>
<a href="mailto:Tecnica@liste.siena.linux.it">Tecnica@liste.siena.linux.it</a><br>
<a href="http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica" target="_blank">http://liste.siena.linux.it/cgi-bin/mailman/listinfo/tecnica</a><br>
<br></blockquote></div><br></div></div>