Autenticazione, cache e cookies. La memoria dei browsers

[Bubillus]

Non volevo aprire un topic apposta nella sezione WoW e d'altra parte la cosa coinvolge anche Chrome. Mi è capitata 2 minuti fa una cosa inquietante. Sapete che è possibile associare un autenticatore al proprio account Battle.net per aggiungere un elemento di sicurezza al momento dell'autenticazione. In pratica si inseriscono email, password e poi il codice di 6 cifre generato sul momento dall'autenticatore in proprio possesso. Ebbene mi sono appena connesso su Battle.net usando Chrome e MI HA AUTENTICATO senza chiedermi il codice della chiavetta!!! Mi sono allarmato, ho eseguito la disconnessione, sono andato nel pannello di controllo di Chrome e gli ho detto di cancellare i dati di navigazione comprese le password salvate e i dati di autocompletamento moduli. Ho provato a ricollegarmi e questa volta mi ha chiesto anche il codice di 6 cifre. MA E' SENZA SENSO! Come è possibile? Aprirò un bel ticket alla Blizzard perché sta cosa non mi garba per nulla, ma una cosa del genere significa che sotto sotto c'è una presa in giro.

[skazzo]

beh ma se dici su battle.net ora quando metti nome utente e password e autentichator se fai caso rimane sbaffato di default il "rimani connesso", quindi se non fai il logout è normale che al ritorno ti ritrovi loggato

[Bubillus]

Nono speta: l'ultima volta che mi ero collegato su Battle.net da questo PC è stato giovedì scorso e, tra l'altro, sono certo al 99,99% di aver fatto la disconnessione, lo faccio sempre. E poi come mai mi ha richiesto il codice dopo che ho cancellato i dati di navigazione?
Mia opinione: se dico "salvami utente e password" è corretto che ad un tentativo di login non mi vengano chiesti ma sia il browser ad inviarli al sito. Ma se questo sito ha un ulteriore livello di sicurezza che consiste in un codice generato sul momento da un apparecchio in possesso dell'utente allora la cosa non dovrebbe funzionare e dovrei vedere la finestralla per inserire tale codice. E invece ha funzionato benissimo. A meno che ponendo anche che mi sia dimenticato di fare la disconnessione sia normale che la mia sessione resti aperta per 4 giorni...

P.S. rileggendo il post sì in effetti non sono stato chiaro. Quando ho aperto la pagina di Battle.net non ero connesso, ho cliccato su "Loign" e mi ha autenticato senza aver avuto bisogno di inserire nome utente, password (e fin qui ci sta) ma neppure il codice dell'autenticatore.

[Beavis]

Non allammarti, ora ti spiego tutto.

Per caso ho visto al soluzione ieri sera quando ho provato a loggarmi in b.net dopo mesi in previsione di diablo 3.
L'authenticator in precedenza veniva richiesto ad ogni connessione, mentre adesso c'è l'opzione di chiedere il codice dell'authenticator 1 volta al giorno (o era a settimana?) e di default è attiva questa opzione.
Se chrome è impostato per ricordare utente e password non gli viene chiesta sempre la chiave a 6 cifre.
Loggati in b.net e potrai spuntare di chiedere ogni volta la chiave a 6 cifre.

[Bubillus]

Uhm uhm in effetti dice "Richiederà un codice dell’authenticator ogni volta che ti connetterai al gioco" e nell'help specifica che di norma il codice viene richiesto una volta a settimana. Ma è nuova sta cosa? Perché a casa fino a ieri mi ha chiesto il codice ad ogni login del client. Però parla di gioco e non di login sul sito. In più se provo a biffare l'opzione mi esce un errore ma vabbè magari è un altro tipo di problema legato al sito. Non mi convince molto sta cosa però potrebbe essere una risposta. Mi turba il fatto che mi ha chiesto il codice dopo che ho cancellato i dati di navigazione, come se Chrome potesse ripistinare la sessione dopo 4 giorni solo con i dati salvati di utente e password infischiandosene del codice di sicurezza. L'impressione è stata quella.

[Beavis]

La mia impressione su chrome comuqnue è stata che tende un po' troppo a ricordarsi cosa hai fatto.

[Mano[FA]]

Credo dipenda dal sito (B.net) non da Chrome. Avviso che io non ho autenticator ne Chrome, ma spiego cosa potrebbe esserci sotto.
L'authenticator e' per verificare che tu sia tu. Non importa che Chrome si ricordi o meno il numero, non lo manda la seconda volta, non funzionerebbe. Quello che probabilmente succede e' che la prima volta che ti connetti con l'autenticator, B.net sa che tu sei tu e mette un cookie che usa per tracciare il browser. Ai collegamenti successivi, invece di assicurarsi che tu sei tu (chiedendoti codice) si assicura che l'utente stia usando lo stesso browser sullo stesso computer con lo stesso utente dell'altra volta, (quando ha usato l'autenticator) cercando il cookie. Alla gente non piace usare l'autenticator, quindi le aziende cercano di minimizzarne l'uso (compromesso convenienza/sicurezza). Certo tua moglie o uno che si collega col tuo PC/account otterrebbe un'autenticazione automatica. De-spunta i vari "ricordati la prossima volta" o cancella i cookie (magari prova a vedere se c'e' moo di farlo selettivamente per alcuni siti) quando chiudi Chrome. Come prova, prevedo che cancellare anche "solo" i cookie (e non le password o la cache) richiedera' l'autenticator alla connessione successiva.

Mi sa pero' che splitto il topic. Non e' tanto da guerra dei browser