Ciao a tutti
scusate se torno ancora sul login +- sicuro ma siccome in certi progetti è di vitale importanza vorrei poterne parlare ANCORA CON VOI.
Attualmente stiamo progettando un login di questo tipo:
L'utente digita l'username e la password come sempre
Javascripot in locale asha MD5 l'username e la password e con ajax chiede a un file php 3 stringhe alfanumeriche casuali di lunghezza diversa di cui il file php inserisce in 3 variabili di sessione la loro lunghezza.
Quando ajax ritorna le stringhe la prima viene messa davanti al'username ashato, la seconda dopo di sesso a cui segue la password ashata e in coda viene aggiunt la terza stringa casuale.
Il tutto viene inviato ad un'altro file php che sapendo la lunghezza e la posizione delle strunghe casuali le scorpora e tenta la login per poi eleiminare dalla sessione le strinhe casuali e dare un valore positivo ad una variabile di sessione contenente il livello di sicurezza dell'utente loggato.
Forse è un sistema bizzarro ma noi stiamo cercando di evitare l'intercettazione dei dati in chiaro.
La nostra domanda è:
come possiamo fare a testare il nostro metodo fingendoci malintenzionati per capire se ha delle falle?
Altra domanda :
secondo voi può funzionare un sistema del genere?
Grazie e buona domenica
Rispondi quotando
