Visualizzazione dei risultati da 1 a 10 su 10
  1. #1

    Inviare stringhe in SHA1

    ciao!

    da un form invio user e password tramite ajax, usando post.
    però, se non sbaglio, così facendo cmq la pwd è chiaro.
    visto che sul db è salvato solo lo SHA1 della password, volevo inviare dal form direttamente lo SHA1 del campo pwd.
    ho trovato qualche funzione qua e la googlando, ma non ho ben capito se sono valide o meno (visto che ci stanno soluzioni molto diverse).

  2. #2
    ok sto usando la libreria CryptJS, che ha parecchie funzionalità.

  3. #3
    Moderatore di Javascript L'avatar di ciro78
    Registrato dal
    Sep 2000
    residenza
    Napoli
    Messaggi
    8,505
    cambia poco e nulla se l'autenticazione la fai usando l'hash della password intercettano quello ti pare?
    Ciro Marotta - Programmatore JAVA - PHP
    Preferisco un fallimento alle mie condizioni che un successo alle condizioni altrui.


  4. #4
    Quote Originariamente inviata da ciro78 Visualizza il messaggio
    cambia poco e nulla se l'autenticazione la fai usando l'hash della password intercettano quello ti pare?
    in che senso?
    un conto è intercettare ciao.
    un conto è intercettare 189fb7e783rh28yfh8w29jrnf8287y3b.

    o sbaglio?

  5. #5
    Moderatore di JavaScript L'avatar di br1
    Registrato dal
    Jul 1999
    Messaggi
    19,998
    Forse ti sfugge che con questo metodo non e' piu' necessario intercettare la password... basta intercettare l'hash che e' in chiaro e reinviare quello ...
    Il guaio per i poveri computers e' che sono gli uomini a comandarli.

    Attenzione ai titoli delle discussioni: (ri)leggete il regolamento
    Consultate la discussione in rilievo: script / discussioni utili
    Usate la funzione di Ricerca del Forum

  6. #6
    Quote Originariamente inviata da br1 Visualizza il messaggio
    Forse ti sfugge che con questo metodo non e' piu' necessario intercettare la password... basta intercettare l'hash che e' in chiaro...
    no non mi sfugge.
    ma io nel campo password non ci scrivo l'hash.
    se ce lo scrivessi, risulterebbe cmq password errata (andrei a calcolare l'hash dell'hash).
    e quindi dovrebbero prima risalire alla parola da cui deriva l'hash.
    sicuramente una rottura in più, no?

    a meno che non sia banale questa operazione, e allora ovviamente le due cose sono equivalenti.
    ma pensavo di no....

  7. #7
    Utente di HTML.it L'avatar di U235
    Registrato dal
    Mar 2006
    Messaggi
    1,521
    Quote Originariamente inviata da fermat Visualizza il messaggio
    in che senso?
    un conto � intercettare ciao.
    un conto � intercettare 189fb7e783rh28yfh8w29jrnf8287y3b.

    o sbaglio?
    Ni...
    se l'importante � non far sapere la password si, cambia ovviamente, ma se vuoi impedire l'accesso no, non cambia nulla perch� si pu� usare lo stesso per accedere... A meno che non la cripti in maniera che sia monouso. Ma questo � un po diverso... Intendo dire che al momento del caricamento della pagina usi la crittografia e scambi una chiave (appunto mono uso: la volta successiva cambi) con il client, sempre tenendo presente che il problema si sposta sul consegnare la key al client in quanto verrebbe intercettata a sua volta rendendo di fatto inutile la stessa. Quindi entra in gioco la crittografia asimmetrica per consegnare la key al client, ma per renderla efficace anche contro gli attacchi MIMT deve entrare in gioco una terza parte di fiducia che certifica l'autenticit� delle parti.
    Ma per fare tutto ci� esiste un modo semplice: SSL. Che pu� essere auto-certificato (senza fiducia dei browser) o certificato da diverse authority con diversi gradi di attendibilit�. I secondi nella maggior parte dei casi sono certificati costosi, a meno che non sia per uso personale, in quel caso trovi anche certificati gratuiti.
    Ultima modifica di U235; 22-02-2017 a 17:07

  8. #8
    Utente di HTML.it L'avatar di U235
    Registrato dal
    Mar 2006
    Messaggi
    1,521
    Quote Originariamente inviata da fermat Visualizza il messaggio
    no non mi sfugge.
    ma io nel campo password non ci scrivo l'hash.
    se ce lo scrivessi, risulterebbe cmq password errata (andrei a calcolare l'hash dell'hash).
    e quindi dovrebbero prima risalire alla parola da cui deriva l'hash.
    sicuramente una rottura in pi�, no?

    a meno che non sia banale questa operazione, e allora ovviamente le due cose sono equivalenti.
    ma pensavo di no....
    Qualsiasi cosa invii tra client e server in chiaro, pu� essere riutilizzata da chiunque intercetti i dati in transito. Non ha importanza se � un hash o una stringa criptata o ancora in chiaro, tanto una terza parte la pu� copiare cos� com'� e inviarla a sua volta.

    Se invece il tuo intento è nascondere le password ad un eventuale male intenzionato che ha accesso al database, allora stai facendo in maniera corretta, ma non è necessario coinvolgere il client in questo caso, lavori solo sul server.
    Ultima modifica di U235; 22-02-2017 a 17:20

  9. #9
    si SSL sul server è già attivo.

    cmq ho capito perfettamente, grazie!!

  10. #10
    Utente di HTML.it L'avatar di U235
    Registrato dal
    Mar 2006
    Messaggi
    1,521
    Da parte mia: figurati.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.