p.s: io cmq per levarmi il dente non uso mai la funzione 'ricordami', ma piuttosto nel cookie salvo solo l'username e valorizzo in automatico il campo del form, in questo modo l'utente deve perdere solo 3 secondi a inserire la password ed è dentro.
Aggiungici che nel caso non sia loggato salvo l'url della pagina al quale tentava di accedere, e lo riporto direttamente li, e non ho mai avuto lamentele
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
sisi ottimo, ma io non dico che non sia giusto. solo che concettualmente uno potrebbe violarlo in semplici passi... sniff, editing e invio! o magari sbaglio io... per quello ho aperto questo topic
(e ringrazio tutti quelli che stanno partecipando/parteciperanno)
ma dov'è che ho detto che è più facile sniffare i cookie rispetto ad altri parametri, scusa?Originariamente inviato da markzzz
ma come? tutti i dati che partono dal browser verso il server (username, password (sia in chiaro che md5), cookie, sessionid, ecc ecc) son dentro alla http request. quando invio una singola pagina al server il cookie sarà sempre presente. uno si posiziona tra me e il server con un programma tipo wshark e vede tutto quello che passa...
perchè è piu difficile sniffare il cookie rispetto a un singolo parametro che passo al server (anche un normale POST)?
semmai ho detto il contrario
Se uno si posiziona tra il client e il server, non è più logico che sniffi direttamente user e password?
E in quel caso, tu a livello di server quali misure di sicurezza potresti prendere? nessuna, se non https.
e cmq, ripeto, sniffare dati in quel modo non è proprio un giochetto come si vede nei film..
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
ma è proprio per evitare l'editing, l'uso del secret!Originariamente inviato da markzzz
sisi ottimo, ma io non dico che non sia giusto. solo che concettualmente uno potrebbe violarlo in semplici passi... sniff, editing e invio! o magari sbaglio io... per quello ho aperto questo topic
(e ringrazio tutti quelli che stanno partecipando/parteciperanno)
Uno si ritrova con un hash md5, ma non sà come è stato calcolato.
Anche se indovinasse gli elementi (user, ip, parola segreta), dovrebbe indovinarne anche l'ordine.... fà rpima ad andare di brute-force
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
indubbiamenteOriginariamente inviato da strae
Se uno si posiziona tra il client e il server, non è più logico che sniffi direttamente user e password?
ma perchè dovrebbe calcolarsi l'md5? quando arriva al server mica lo "calcola" (anche perchè è un processo da parecchi mesi credo) : fai il controllo tra il tuo md5 inviato e quello impostato. quindi non gliene frega nulla sapere username, password, parola segreta, ecc. quello che andrà a confrontare te lo ha già fregato, gli basta la stringa codificata (che, ripeto, è quella che arriva al server per il controllo).Originariamente inviato da strae
ma è proprio per evitare l'editing, l'uso del secret!
Uno si ritrova con un hash md5, ma non sà come è stato calcolato.
Ma questo presuppone che l'hacker si colleghi al server con l'indirizzo ip della vittima, stesso browser, stessi dati, insomma..Originariamente inviato da markzzz
indubbiamente
ma perchè dovrebbe calcolarsi l'md5? quando arriva al server mica lo "calcola" (anche perchè è un processo da parecchi mesi credo) : fai il controllo tra il tuo md5 inviato e quello impostato. quindi non gliene frega nulla sapere username, password, parola segreta, ecc. quello che andrà a confrontare te lo ha già fregato, gli basta la stringa codificata (che, ripeto, è quella che arriva al server per il controllo).
Certo, è possibile, ma comincia a diventare complicato...
Io però di altre soluzioni non ne conosco, mi faccio da parte sperando chq intervenga qualcun'altro con maggiore esperienza!
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
no ma perchè? ora supponiamo che io sul cookie setto username + password + parola segreta tutto in md5. (senza user_agent ecc ecc).Originariamente inviato da strae
Ma questo presuppone che l'hacker si colleghi al server con l'indirizzo ip della vittima, stesso browser, stessi dati, insomma..
supponiamo generi KAHSUBanskcna983wueqnc : esce dal browser e và nella http request. arriva al server. il server codifica username + password + parola segreta in md5, che sarà KAHSUBanskcna983wueqnc (teoricamente un valore come l'username devi passarlo senza codifica, in modo che possa andare sul database, prelevare la tua password e poi codificare. altrimenti in un ambiente multiutente non potrebbe recuperare i dati per fare il controllo
se un hacker ti sniffa quel pacchetto (tu sei in italia e lui è in polonia sotto 4 metri di neve
ho detto giusto?
Ah si ok ora ho capito quello che intendi..
ma di questo sei sicuro?Originariamente inviato da markzzz
il server (non facendo controlli tcp/ip per la provenienza dei pacchetti ) gli elabora
Ma anche se fosse, tu puoi cmq evitarlo:
nella sessione ci metti anche l'indirizzo ip.
il secret del cookie lo setto con username + pass (in md5) + ip + 'sonounpollo' (in stringa)
quando l'utene/hacker arriva sul sito, tu controlli il cookie.
Prima di ricreare la sessione, controlli che i dati corrispondano, da php, e per forza di cose l'indirizzo IP non dovrebbe quadrare, almeno quello, quindi:
username + pass + ip_utente + 'sonounpollo' = H4378H438H43 (gatto che cammina sulla tastiera)
username + pass + ip_hacker + 'sonounpollo' = VFREH78FH34S (cane che lo rincorre)
diversi.. l'hacker dovrebbe collegarsi 'clonando' l'indirizzo ip della vittima (credo non sia impossibile da fare, ma non saprei)
You HAVE to assume your visitor is a maniac serial killer, out to destroy your application. And you have to prevent it.
I can accept failure, everyone fails at something - But I can't accept not trying.
bhè no non sono sicuro, ma prima ho posto questa domanda e da quanto ho capito guarda solo l'id (poi magari sbaglio è
il tuo ultimo ragionamento non fà una piega. basterebbe chiamare la funzione gethostbyname e confrontarla con l'ip dentro al cookie. c'è solo un sottile problema :
se l'utente ha ip statico funziona, altrimenti non entra neanche lui...
comunque tutto sommato non hai tutti i torti quando dici che sniffare non è un gioco da ragazzi (alla fine gestisco un sito che non fà uso nè di scambi monetari ne di altre cose un pò piu pesanti a livello di secretezza, anche perchè altrimenti avrei usato in principio l'https). quindi accontentiamoci di questa tecnologia
per il fatto di aggiungere password/username/parole segrete/ecc ecc resto dell'idea che mettere tutto in md5 è solo per la visibilità dei dati che passano, ma sicuramente non per la sicurezza lato server.
se c'è qualcuno che ha altre riflessioni/idee/suggerimenti fatevi avanti, mi sembra un argomento abbastanza interessante (o forse no
saluti a tutti e grazie per la collaborazione!
Permessi di invio
Rispondi quotando