login sicuro

[sfinge]

Ciao,

sto cercando un login il più sicuro possibile con queste caratteristiche.

1) Login senza registrazione automatica, l'utente già possiede un suo user e pass.
2) Senza tunneling SSL
3) Ovviamente, mysql per criptare password e casomai sessioni.
4) Uso oppure no di cookie, quest'ultimo non è essenziale.

Solo che nel web ho trovato una marea di applicativi php e a detta dei creatori tutte sicure... ma quale protegge di più da sniffing, brute forcing, reply attack, ecc con tali
caratteristiche?

Grazie

[Virus_101]

Guarda uno dei modi migliori per evitare un brute force e' tracciare l'ip e se l'ìp ha gia' effettuato almeno un accesso durante la giornata piazzi una sleep(5); e vedrai che i brute force nn funzionano piu' perche' il tempo utile a identificare un accesso diventa talmente alto che potresti vedere il sole splodere (almeno con i sistemi attuali)

Per quanto riguarda gli altri problemi beh ... dipendeono sempre e fondamentalmente da quanto sicuro e' il pc di chi si connette.

Diciamo che se controlli l'header e recuperi i dati dello user-agent sai gia' chi si collega.

Per crittografare i dati con js devi stare attento perche' devi spedire la chiave pubblica in qlke modo e MAI scriverla sulla pagina, inoltre tale chiave dovra' essere dinamica e assegnata volta per volta che crei una sessione.

ovviamente l devi generare appena l'utente avvia la pagina poi la salvi in sessione
quindi generi una chiave privata che usi pre crittografare i dati.
quindi crittografi tutto(chiave privata compresa) e salvi in sessione.
invii la chiave pubblica alla pagina (con ajax)
quando l'utente vorra' fare login se la sessione scade la chiave non sara' piu' valida e dovra' rieffettuare le procedura da capo, altrimenti useri la chiave pubblica per crittare i dati di accesso che dovranno contenre anche la chiave stessa crittografata con se stessa.

Quindi sul server decrittografi tutto con la chiave pubblica che hai salvato prima in sessione quindi controlli la chiave pubblica interna(e' sempre un controllo di coerenza in piu'), quindi estrai la chiave pubblica e la usi per decrittare i dati di sessione , quindi ottieni nuovamente la chiave privata, con tale chiave decritti i dati e li controlli.

Questo e' un possibile automa di cirttografia/decrittografia con chiave pubblica e privata.
Ci sono altri 200000000 di modi diversi per implementarli etc.... dovrai effettuare una scelta basta su difficolta e prestazioni.

Gud Lac....

P.S.
Io cmq ti consiglio ssl che' ha fa gia' tutto e' super testato.

[sfinge]

Ciao,

tutto quello che hai postato è effettivamente quello che vorrei implementare.
Dato che un pò me la cavo con php, sapresti consigliarmi quale classe o pacchetto
open source che fa tutto questo al meglio (lasciando purtroppo fuori ssl)?
per esempio, qualcosa di superiore a "PhpMyLogon"...


Ciaoooo

[Virus_101]

Oddio non saprei io di solito uso codice mio per queste necessita'.

[sfinge]

grazie cmq.

se qulcuno ha qualche consiglio....