61
3.6.2 Εξουσιοδότηση και αυθεντικοποίηση
Η εξουσιοδότηση και αυθεντικοποίηση χρήστη είναι πολύ σημαντικές έννοιες
για την ασφάλεια του ιστοχώρου. Η μη ύπαρξη εξουσιοδότησης και αυθεντικοποίησης
ή μια λανθασμένη εξουσιοδότηση και αυθεντικοποίηση μπορεί να οδηγήσει στην
υποκλοπή πληροφοριών και στην τροποποίηση δεδομένων.
Όπως αναφέρθηκε σε προηγούμενο κεφάλαιο το πρώτο μέτρο για την ασφάλεια
του ιστοχώρου, είναι ο χρήστης όταν συνδέεται στον ιστόχωρο να χρησιμοποιεί
κρυπτογράφηση https ώστε να μπορεί να έχει πρόσβαση. Αφού ο χρήστης πληροί αυτή
την προϋπόθεση, κατά την είσοδό του στον ιστόχωρο ζητείται απο τον χρήστη ένα
email και ένα password και πραγματοποιείται έλεγχος αν ο χρήστης είναι
καταχωρημένος στην βάση δεδομένων.
Παράλληλα με την αυθεντικοποίηση, πραγματοποιείται και έλεγχος για την
εξουσιοδότηση του χρήστη. Πιο συγκεκριμένα, αφού ο χρήστης πληκτρολογήσει ένα
email και ένα password και η καταχώρησή του υπάρχει στην βάση δεδομένων ,
ελέγχεται ο ρόλος του (0 ή 1), όπου μηδέν (0) είναι ο απλός χρήστης και ένα (1) ο
διαχειριστής. Εφόσον τα στοιχεία που θα πληκτρολογήσει ο χρήστης είναι αληθές, τότε
ο χρήστης θα έχει πρόσβαση στις αντίστοιχες σελίδες που ορίζει ο ρόλος του. Σε
οποιαδήποτε άλλη περίπτωση που ο χρήστης δεν ταυτοποιηθεί, επιστρέφει στην σελίδα
εισόδου.
3.6.3 Μηνύματα ελέγχου
Ένα απλό αλλά ιδιαίτερα σημαντικό μέτρο για την ασφάλεια του ιστοχώρου
είναι η εμφάνιση κατάλληλων μηνυμάτων στον χρήστη, ώστε να δίνουμε τις απολύτως
απαραίτητες και βασικές πληροφορίες και τίποτα παραπάνω.
Για παράδειγμα, κατά την σύνδεση του χρήστη στον ιστόχωρο σε περίπτωση
που κάποιο από τα στοιχεία που καλείται ο χρήστης να πληκτρολογήσει για να
συνδεθεί (email ή password) είναι αναληθείς, εμφανίζεται μήνυμα ότι το email ή το
password είναι λάθος. Όπως γίνεται αντιληπτό, ένας ανεπιθύμητος μη εγγεγραμμένος
χρήστης είναι πιο δύσκολο να διασπάσει έναν συνδυασμό email και password όταν δεν
γνωρίζει ποιο είναι λάθος από τα δύο, σε αντίθεση με το μήνυμα ελέγχου να ήταν ότι
το password είναι λάθος ή το email είναι λάθος.