| dalla versione 18.5.7200 - modificato il 25/09/2018 - link - english
|
Descrizione
Ora l'applicazione web TWWebClient, utilizzata per controllare Team Works server, soddisfa i criteri imposti dalla normativa GDPR per quanto riguarda la gestione delle password.
In particolare:
- Le password non sono più memorizzate in chiaro su database ma solo dopo essere state appositamente trattate (HASH) tramite apposita chiave auto-generata (SALT).
- Il SALT viene cambiato ad ogni variazione della password.
- La password viene trattata utilizzando l'algoritmo HMAC-SHA256.
- Sono stati imposti dei vincoli sulla complessità della password che ora deve essere lunga almeno 8 caratteri e contenere almeno una lettera ed un numero. Tali vincoli non si applicano alle password già esistenti che rimangono quindi valide.
- N.B.: al momento dell'installazione dell'aggiornamento di Team Works vengono automaticamente aggiunti nuovi campi (nullable) al database che permettono di memorizzare le nuove informazioni. Quando viene attivata la versione 18.5 di Instant Developer sul server Team Works le password esistenti vengono automaticamente trattate ed aggiornate. Da quel momento in poi occorre utilizzare la versione 18.5 di Instant Developer sul server dato che le password sul database non sono più leggibili alle versioni precedenti di Instant Developer. I programmatori, invece, possono utilizzare qualunque versione di Instant Developer per sviluppare e collegarsi al server Team Works.
- E' stata rivista la funzionalità di autologin. Ora, quando l'utente effettua il login nell'applicativo e seleziona il flag Connetti automaticamente da questo computer il sistema genera un token (memorizzato sia nel database che come cookie nel browser dell'utente) che scade automaticamente dopo 30 giorni. Pertanto ogni 30 occorre effettuare nuovamente il login.
- E' stato inserito un nuovo campo nelle videata degli utenti che permette di verificare la password prima di salvare i dati su database. Entrambe le password devono coincidere per poter effettuare il salvataggio dei dati.
- Qualora la password venisse dimenticata è possibile accedere direttamente al database e svuotare il campo PASSWOUTENTE della tabella UTENTI. A quel punto sarà possibile effettuare il login ed impostare la nuova password nella videata utente (che verrà aperta automaticamente). Il login non è comunque permesso senza password dai client Instant Developer dei programmatori ma solo dall'applicazione web.
- Durante l'implementazione sono stati apportati alcuni miglioramenti:
- Nella videata di login se viene premuto ENTER in uno dei due campi ed entrambi sono valorizzati viene automaticamente cliccato il pulsante di Login;
- Quando si effettua il login da Instant Developer viene ora mostrato il messaggio corretto se le credenziali utente sono corrette, il progetto esiste ma l'utente non è abilitato (6314 - L'utente non è autorizzato ad aprire il progetto). Nelle versioni precedenti di Instant Developer veniva mostrato l'errore 6148 - Impossibile trovare il progetto nel server Team Works se il progetto esisteva ma l'utente non era abilitato all'apertura.
- Il pulsante di LOGOFF (che nella versione precedente era gestito solo se l'applicativo veniva aperto nell'IDE di Instant Developer) è ora gestito anche quando l'applicativo è avviato da browser e permette di tornare alla videata di login invalidando eventuali token di autologin.
Funzionalità interessate
L'utilizzo dell'applicativo TWWebClient di Team Works server.
Cosa ne pensi?
Ti sono rimaste delle domande su punti che questo articolo non ha trattato? Pensi che sia utile aggiungere una nota all'articolo? Aiutaci a migliorare la documentazione di Instant Developer scrivendo il tuo commento nei campi qui sotto.