Exploit facili con ajax?

[TrueLies]

Originariamente inviato da 8matt5


Esempio pratico e stupido: ho un e-commerce, dopo la procedura di pagamento ho uno script che mi comunica al sistema se ho pagato o no. Il sistema accetta Vero o Falso. Il cliente non paga, ma trova il modo di passare la variabile Vero invece che Falso.

Molto male.
Un sistema di pagamenti non deve mai basarsi come riscontro su un mero booleano. Un sistema di pagamenti siffatto, che affida un conto in banca ed una intera transazione ad un singolo parametro di quel genere, non ha problemi di crittazione: ha problemi di programmatore.

Il ritorno true o false (che dovrebbe essere solo una delle componenti ritornate: basterebbe pensare agli applicativi forniti da Paypal, che non so se tu conosci - e che non crittano un bel niente lato client... ) non te lo deve dare l'utente in questo caso, ma l' applicativo della banca o la API dell' intermediario finanziario, poichè è del tutto chiaro che l'utente vorrebbe darti true in ogni caso: ma il tuo database true o false lo deve accettare come echo della banca, e non dai parametri che l'utente passa a te.

Non confondiamo errori strutturali della applicazione e concettuali del programmatore con problematiche di sicurezza.

[8matt5]

A quanto pare non hai capito neanche la natura e lo scopo del mio post...

L'esempio dell'e-commerce è un esempio stupido, l'ho specificato. è ovvio che non può esistere di un sistema del genere... semplicemente è stata la prima cosa che mi è venuta in mente per far capire dove penso che stia il problema. Non soffermarti sul metodo che utilizzo nell'esempio, ma sul problema che l'esempio vuole "esemplificare". Non ho mai lontanamente pensato che un e-commerce possa funzionare in quel modo.

Inoltre mi scuso se ti ho offeso, ma non era un attacco personale, negli ultimi post avevo notato che ti eri fossilizzato su un punto che a mio parere era superato, da quello che ho capito io (che può anche essere sbagliato) ti stai concentrando su un problema sbagliato e quindi cercavo solo di fartelo capire di modo che anche tu possa aiutarci.

Poi non penso che chi ha fatto la domanda non abbia capito il problema da risolvere, altrimenti cosa stiamo qui a fare?

Il fatto che i controlli vadano fatti sul server, è una dato di fatto anche per me. L'ho sempre affermato e non ho mai pensato il contrario. Non ho mai parlato di criptatura client-side e lo sottolineo alla fine del post

se invece riesci a riservare i calcoli per il lato server e lato client mostri solo i risultati, allora questi li puoi criptare come ho detto nell'altro post.

Nell'altro post

I vari valori quindi li invio al client criptati [...] Quando mi ritornano indietro i valori li decripto

[8matt5]

[OT]
P.S. Ho riletto il mio post di prima e in effetti può sembrare un po' polemico...

Mea Culpa... ma non volevo assolutamente esserlo.

TrueLies da quello che posti sembri molto preparato e penso davvero che ti stia soffermando su un problema sbagliato, pertanto cercavo di farti capire il mio punto di vista, così da cercare tutti insieme una soluzione al problema che mi sembra di aver centrato (come mi ha confermato lo stesso hysoka44).

[/OT]

[TrueLies]

Matt ti stai focalizzando su un problema risolto da tempo.

Forse tu stai pensando che io, nel rispondere qui, ti stia fornendo miei pareri personali, o mie illazioni e speculazioni. Ti posso garantire che non è così: le preoccupazioni che tu e hysoka qui esprimete sono già tutte sorte in altre menti nigliori delle nostre molto prima di noi, e sono già state tutte risolte da tempo.

Per quanto possa parerti sconcertante, per quanto tu possa legittimamente fare fatica a comprendere questo punto, per quanto tu possa dubitare e credere che sia una mia opinione soggettiva, i problemi che tu sollevi si risolvono esattamente con l' approccio che qui ti ho detto: si risolvono tutti sul lato del server, senza nessuna eccezione. Del lato client non si deve mai fidare nessuno nemmeno per un istante: per cui fa tutto il server. E lo fa proprio con gli strumenti che ho già indicato, e che non sono frutto di mie visioni notturne :-)

Inclusi i problemi che tu temi.
Io ti sto fornendo la soluzione a questa cosa, ma tu non vuoi credermi, per cui contro questo non posso nulla.

Ti farò però un ultimo esempio, perchè forse ho capito di cosa vi occupate e quale è il problema che vi affligge.

Tu fai un gioco in javascript che manda dati al server. Ora, a parte che di solito i giochi non si fanno in javascript se hai notato (i MUD sono prompt che lavorano in simbiosi con C o C++, i giochi su facebook o sono Java o sono Flash ecc) ma se la tua preoccupazione è la seguente, ti dirò come risolverla:

tu temi forse che il tuo giocatore invii un punteggio via ajax, che so: 100. Invece siccome è un volpino, trova il modo di inviarti 1000 via ajax (magari riesce a entrare negli headers del metodo POST) - oh, tu non ci crederai... lo risolvi dal lato del server!

Il tuo server deve avere una variabile di sessione che stabilisce quando è avvenuta l'ultima connessione con un timestamp, alla connessione successiva controlla quanto tempo è trascorso tra il timestamp di questa connessione e quella precedente; e se il dato è incongruo (un milione di punti in 500 millisecondi? 10 punti in un secondo? dipende dal tuo gioco e come è strutturato) abortisce. Se la cosa si ripete, lo banni e gli cancelli l'account. Male che vada ti ha rubato un migliaio di punti virtuali, e non gioca mai più.
Se poi anzichè virtuali eran soldi, come ti dicevo si tratta di accettare la echo decisiva dalla banca, non certo dall' utente. Poi certo, se uno ruba una carta di credito per strada ti può impersonare (e l' e-commerce attualmente non prevede validazioni biometriche): ma questa non è sicurezza web, è sicurezza di quartiere...

Non confondiamo i problemi concettuali di una progetto con problematiche di sicurezza.

La risposta te la ho data, poi liberissimo di discutere di crittazione lato client con hysoka sia chiaro: sto solo cercando di dirvi e farvi capire che non serve.
se però volete discuterne comunque e implementarla lo stesso, fate pure non ho certo nulla in cotnrario.

ciau

[8matt5]

Ma io non ho mai parlato di crittazione lato client, perché continui a dirlo?
io ho sempre sostenuto che tutti i controlli vanno effettuati lato server...

Io sono sicuro che menti più elevate della mia abbiano già risolto tutti questi problemi, ma lo scopo di questo forum e quello di raccogliere esperienze e io sto cercando di condividere la mia. Che i controlli vadano effettuati lato server ok, quello che si chiede poi è un aiuto a realizzare questi controlli. Magari non è la sezione adatta... ma essendo un gioco javascript, prima o poi bisogna interfacciarlo col client

Il tuo server deve avere una variabile di sessione che stabilisce quando è avvenuta l'ultima connessione con un timestamp, alla connessione successiva controlla quanto tempo è trascorso tra il timestamp di questa connessione e quella precedente; e se il dato è incongruo (un milione di punti in 500 millisecondi? 10 punti in un secondo? dipende dal tuo gioco e come è strutturato) abortisce. Se la cosa si ripete, lo banni e gli cancelli l'account. Male che vada ti ha rubato un migliaio di punti virtuali, e non gioca mai più.

Questa potrebbe essere una soluzione, perfetto, tutto sta in come è sviluppato il gioco. Dire "i controlli vanno effettuati lato server", non lo è.

E scusa se mi ripeto, ma io non ho mai parlato di crittazione client-side!!!!!!!