[OT] Applicazioni web con js obbligatorio. Accessibili?

**andr3a** · 28-12-2005, 21:01

Originariamente inviato da chris
Eh sì, eh

Come minimo uno spambot/crackerbot/pavesinibot serio si camufferà da ie6 su winxp per risultare il più possibile nella media :E

infatti l'ho sparata un po' troppo a caso

pero' da me le stats riconoscono tutti (ma forse no) i vari bots passati nel sito ... chiediamo ad apache come fa a riconoscerli ?

Originariamente inviato da skidx
Certo che è possibile, si usa SSL in questi casi.

e se non voglio usare SSL ? ... se non ho SSL ? ... insomma c'e' sempre modo per trovare l'indispensabilità di JS su un sistema di login, mentre diventa un gran casino farlo senza

il succo è: il mio sistema della pillola potrebbe essere completamente accessibile pur usando JS ... tutto qua!

**chris** · 28-12-2005, 21:08

Originariamente inviato da daniele_dll
se io buco un nop e acquisco TUTTO il traffico posso far danni, se è crittato mi attacco al tram

Stiamo parlando di un crittaggio fatto in js, giusto?
Tipo fare un hash md5 di una coppia username password, giusto?

**andr3a** · 28-12-2005, 21:11

Originariamente inviato da chris
Stiamo parlando di un crittaggio fatto in js, giusto?
Tipo fare un hash md5 di una coppia username password, giusto?

si, quindi ? .... anche SHA1 volendo ... un hash è un hash ... se è hashato da JS o PHP cambia poco, se viaggia in chiaro invece può cambiare e di molto ...

**daniele_dll** · 28-12-2005, 21:11

Originariamente inviato da chris
Stiamo parlando di un crittaggio fatto in js, giusto?
Tipo fare un hash md5 di una coppia username password, giusto?

di qualsiasi cosa che passi per un nop

poi nello specifico ci riferivamo a dati crittati con SSL ma anche l'md5 va + che bene

oppure anche in lan usando appositi tool posso sniffare quello che invii al server

**chris** · 28-12-2005, 21:13

Originariamente inviato da andr3a
si, quindi ?

Quindi che mi importa come cracker della stringa corrispondente all'hash che transita dal client al server se il solo invio di quell'hash mi dà accesso al sistema?

**skidx** · 28-12-2005, 21:14

Originariamente inviato da chris
Stiamo parlando di un crittaggio fatto in js, giusto?
Tipo fare un hash md5 di una coppia username password, giusto?

Cosa perfettamente inutile in un sistema di login.

Se la password è una stringa "human friendly" o 32 caratteri esadecimali allo spider che intercetta il traffico non interessa mica, lui legge e impara.
Basta replicare lo stesso input per essere autenticati, senza bisogno di conoscere la password originale.

E infatti si cripta il canale con SSL, mica si usa javascript nei login sicuri.

**andr3a** · 28-12-2005, 21:16

Originariamente inviato da chris
Quindi che mi importa come cracker della stringa corrispondente all'hash che transita dal client al server se il solo invio di quell'hash mi dà accesso al sistema?

in pratica hai appena scritto:
perchè tutto il mondo salva hashato che tanto se entro in database posso già far danni ?

penso tu conosca già la risposta e non è tanto vale salvare in chiaro ... il mio utente e password non devono essere noti, riesci a conoscere l' hash inviato ? ... hai già in mano il sito, ma a quel punto conosci il mio user e password per entrare in tutti i posti dove uso quello user e quella password ? .... un bel no secco ci stà tutto.

**skidx** · 28-12-2005, 21:18

Originariamente inviato da daniele_dll
se ho un sito di programmazione dubito che un non vedente c'accederà mai

E invece ci sono ciechi che programmano, ne ho conosciuto 2 personalmente.

Grazie al cielo non sono più relegati a fare solo i telefonisti, anche se le difficoltà di inserimento sono ancora tante.

**andr3a** · 28-12-2005, 21:22

Originariamente inviato da skidx
E infatti si cripta il canale con SSL, mica si usa javascript nei login sicuri.

si, disabilita JS e prova a entrare in Unicredit ... ma ragà basta dai, dovete per forza dire che una cosa non va anche quando l'evidenza stà sopra tutti i vostri bei discorsi

... poi so io il testardo ...

**chris** · 28-12-2005, 21:26

Originariamente inviato da andr3a
un bel no secco ci stà tutto.

E un bel chi se ne frega secco non ce lo metti?

Ma che mi interessa di che nome utente e password usi qui e se per caso la usi da un'altra parte. Il mio scopo era fare quel login per quel determinato sito. Punto.
Il fatto che tu mandi i dati al server come hash, in chiaro, binari, con numeri inframmezzati, solo una parte, etc, a me cracker che avevo la necessità di bucare il tuo sistema non può importare di meno.

Non capisco perché ci si ostini a dire che un login fatto con js che crea l'hash dei dati sia più sicuro di uno che manda i dati in chiaro.

Sono 5 anni che leggo di soluzioni simili e sono 5 anni che non riesco proprio a capire dove sia il guadagno in termini di sicurezza.

Discussione: [OT] Applicazioni web con js obbligatorio. Accessibili?

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio