Ciao a tutti
siccome stiamo implementando un sistema di login basato su ajax +php +mysql evolvendo un'idea presa da una delle pillore del forum, vorrei sapere alcune cose sulla sicurezza di ajax.
1)E' possibile che un malintenzionato intercetti i dati inviati e/o ricevuti con ajax?
se si
2)Può intercettare + facilmente i dati inviati o quelli ricevuti?
se si
3)come?
4)Come si può simulare (testare) un intercettazione di dati ?
Grazie
1 - si, ma deve valerne la pena
2 - indifferente
3 - non e' argomento di questo forum
4 - idem (e soprattutto non con javascript)
5 - hai pensato di spendere qualcosina e usare https ?
ciao
Il guaio per i poveri computers e' che sono gli uomini a comandarli.
Attenzione ai titoli delle discussioni: (ri)leggete il regolamento
Consultate la discussione in rilievo: script / discussioni utili
Usate la funzione di Ricerca del Forum
Davvero non so se ne vale la pena perchè è solo per proteggere dati personali +- sensibili tipo le pagine gialle solo che sono mirate ad un tipo di impresa soltanto.Originariamente inviato da br1
1 - si, ma deve valerne la pena ciao
Attualmente la passwors viene ashata MD5 direttamente in locale ed inviata ashata quibdi se uno l'intercetta è ashata.
Nel nuovo progetto dopo aver ashato MD5 la password viene fatto una richiesta ad una pagina php tramite ajax senza inviare nulla.
PHP ritorna 3 strinhe la CUI LUNGHEZZA VIENE REGISTRATA IN UNA VARIABILE DI SESSIONE.
IN LOCALE DUNQUE SI RICEVONO LE 3 STRINGHE di tipo == alle stringhe ashate MD5
La prima viene messa prima dell'username a cui segue la seconda e la password.
La terza chiude per un totale di 1024 caratteri.
il trasporto al server è nethod=POST e attuato con ajax.
Prima di spedire la stringa ashata di 1024 caratteri vengono azzerate tutte le variabili quindi in locale non rmane niente.
Permessi di invio
Rispondi quotando