[ssl] un pò di indicazioni su php+apache e mysql

[mauri@como]

ciao,
vorrei sapere qualcosa su come poter utilizzare ssl su apache.
E' un modulo?
Avreste un pò di materiale da guardare per utilizzarlo con php e mysql?

Io dovrei fare un'applicazione internet dove l'utente utilizza il web esclusivamente come interfaccia grafica verso il db mysql, ma non vorrei che i dati (in particolare quelli immessi) fossero in chiaro..

altre idee, oltre a SSL?

ciao

[Fabio Heller]

altre idee, oltre a SSL?

Ciao,
se l'accesso alle pagine può avvenire dall'esterno della intranet non vedo alternative a installare Apache+SSL e rendere disponibili le pagine soltanto via https.
In rete trovi abbondante documentazione su come installare Apache, openssl e creare dei certificati.
Se le pagine saranno accessibili soltanto a persone conosciute è sufficiente il certificato creato da te al momento dell'installazione, anche se il browser emetterà un antiestetico avviso e chiederà se il certificato, considerato non trusted, deve essere accettato oppure no.
Se questo avviso non è "esteticamente" ammissibile dovrai ottenere un certificato da un ente certificatore (es. verisign) .

Se per caso il database non si trova sulla stessa macchina dell'applicazione o al di fuori della intranet puoi prendere in considerazione l'ipotesi di rendere sicura con SSL o con tunneling SSH anche la connessione al DB
http://dev.mysql.com/doc/mysql/en/Se...nnections.html

[mauri@como]

grazie fabio, chiaro come sempre.

l'applicazione non è limitata ad una intranet, quindi servirebbe proprio SSL..
stavo guardando per i certificati..non fa niente se l'utente deve accettare un avviso ogni volta..


stavo pensando se è il caso di fare un sistema così sicuro...
e se facessi tutto tramite autenticazione http e ci mettessi del mio con un minimo di crittografia?
è solo un'idea!

[Fabio Heller]

Dipende tutto dal livello di sciurezza richiesto e dai rischi che i committenti si sentono di correre...gran parte delle webmail disponibili (libero, tin etc.) utilizza ancora il normale http, idem per l'accesso pop.

La normale crittografia ti aiuterebbe soltanto nella fase di autenticazione degli utenti (immisione username e password), ma è difficle ottenere qualcosa di migliore rispetto al passaggio dei dati in chiaro:

cripti i dati con javascript (md5 irreversibile) e poi ricevi verifichi i d ti criptati inviati al server con quelli presenti nel db?
Sarebbe possibile sniffare le stringhe criptate e utilizzarle per accedere all'applicazione (non serve decrittarle).

Invece la crittografia reversibile sarebbe più sicura (conservi la chiave nel server) e usi mcrypt di PHP per decrittare...il problema è che non conosco librerie javascript o actionscript in grado di criptare i dati lato client con crittografia reversibile

[Fabio Heller]

Originariamente inviato da Fabio Heller

cripti i dati con javascript (md5 irreversibile) e poi ricevi verifichi i dati criptati inviati al server con quelli presenti nel db?
Sarebbe possibile sniffare le stringhe criptate e utilizzarle per accedere all'applicazione (non serve decrittarle).

A dire il vero mi è venuto in mente che esiste un metodo per rendere abbastanza sicura questo tipo di autenticazione, però è complicato e non credo che ne varrebbe la pena...

[andr3a]

Originariamente inviato da Fabio Heller
Invece la crittografia reversibile sarebbe più sicura (conservi la chiave nel server) e usi mcrypt di PHP per decrittare...

... chiave nel server ....

Originariamente inviato da Fabio Heller
il problema è che non conosco librerie javascript o actionscript in grado di criptare i dati lato client con crittografia reversibile

... chiave nel browser o nell' swf decompilabile ...


Ammesso che ci siano, sarebbero inutili, salvo preautenticazione in md5.

Esempio AS:


if( md5( input.text ) == 'sad77a8hsd8a7hd7sh78ashd7h' ) {
__userAuth = true;
__authKey = input.text;
}

Cosi' da browser o da decompilazione SWF non risulta la chiave di decriptaggio utilizzata ... pero' a quelo punto servirebbero le funzioni o gli oggetti di conversione compatibili con mCrypt.

Mi informo a riguardo


P.S. per la funzione JS di md5:
http://pajhome.org.uk/crypt/md5/


e per la classe AS2.0 di md5 sfogliate quella pagina fino ad 'Hash code in other languages' e guardate in fondo

[mauri@como]

grazie a tutti!

la chiave sul server e sul client mi sembra la cosa migliore..
pensavo esattamente a quello.
magari un DAS a 128 bit..

il sito cmq è solo di supporto al db..
molto probabilmente non sarà utilizzato nemmeno un nome di dominio, ma direttamente l'ip della macchina..
no indicizzazione, no pubblicità, ecc..
le persone che usano la chiave sono fidate, quindi se la riconoscono guardando l'html col client non succede niente.

Adesso vedrò come è messo il server su cui andrà installato l'applicativo..magari conviene ancora openssl!

per curiosità: su apache x windows esiste il modulo openssl oppure c'è solo per linux?

ciao

[Fabio Heller]

Originariamente inviato da andr3a

Ammesso che ci siano, sarebbero inutili, salvo preautenticazione in md5.

Non sono inutili se la chiave, sempre diversa, viene inviata di volta in volta dal server al client.
Server che dovrà ricordarsi la chiave inviata al proprietario della data sessione.
Un sistema simile viene utilizzato dalla crittografia irreversibile (es. con md5, come la crittografia http digest) aggiungendo alla request una stringa, sempre diversa e chiamata "nonce", prelevata dal response precedente.


L'autenticazione md5 da sola, senza "nonce", non serve a nulla perchè qualsiasi dato inviato con crittografia irreversibile ha lo stesso valore sia per chi lo deve legittimamente ricevere che per chi lo può sniffare

Qualsiasi metodo di crittografia client è complicato e sicuro solo fino a un certo punto, non è un caso che SSL sia così diffuso.

[Fabio Heller]

Originariamente inviato da mauri@como

per curiosità: su apache x windows esiste il modulo openssl oppure c'è solo per linux?

http://tud.at/programm/apache-ssl-win32-howto.php3