password multiutente II

**andr3a** · 08-11-2007, 19:11

Originariamente inviato da mrmacchina
Grazie,

il riferimento allo script a cui mi riferisco è il seguente:
http://javascript.html.it/script/ved...ultiutente-ii/

mamma mia ... cinebrivido ... ma come mai HTML.it permette la pubblicazione di tali "cose" (non voglio essere offensivo) ?

La sicurezza è una brutta bestia nel Web ragazzi ... con solo JavaScript ed HTML la vedo buia per troppe ragioni ... la sicurezza si implementa nel server, non sul client (o per dirla tutta, non solo sul client e soprattutto sul server, mai viceversa).

Allora ... quello script dice di criptare le passwords ... e se quello è un crypt, io sono Ponzio Pilato

codice:

function findPass(pass, startFrom){
	var	i = startFrom || 32;
	while((pass / i) != parseInt(pass / i))
		i++;
	pass /= i;
	return	pass < 256 ? [String.fromCharCode(i), String.fromCharCode(pass)] : [String.fromCharCode(i)].concat(findPass(pass, startFrom));
};

for(var	test = {}, i = 32; i < 128; i++)
	test[findPass(16221820608, i).join("").replace('"', "&amp;quot;")] = true;
for(var	key in test)
	document.write('<input type="text" value="' + key + '" />
');

bene, tu prendi questo codice, cambi il numero 16221820608 e ci metti quello mostrato in chiaro nel sorgente della pagina o del JavaScript esterno ... ed eccoti la lista di tutte le combinazionisequenziali.

Sapendo che implementare una funzione di anagramma intelligente sarebbe più costoso che farlo a mente e sapendo che per forza di cose la password deve essere una pagina riconosciuta dall'url (quindi ho accettato fin troppi caratteri) ... i tentativi da sfruttare saranno in questo caso 3 di cui due che portano allo stesso anagramma:

codice:

LTaoì
aoprv
oprva

io la prima che farei, come tentativo per entrare ... è proprio prova ... e vi assicuro che non c'ho perso più di 2 minuti debug compreso ... immaginate un cracker esperto quanto ci mette ad entrare nella vostra area super segreta.

Un consiglio? ... lasciate perdere ste cose ... o cercatene di migliori

[edit]
Ovviamente tutte le soluzioni mostrate vanno bene per passare il check client ... ma come ho detto, siccome questo codice mostra paginaX in base a passwordX la mia soluzione è addirittura fin troppo complessa a livello di calcoli

[edit 2]
Per la cronaca e per correttezza ... già la seconda password non la trovo ... ergo bisogna perderci più tempo per migliorare l'affidabilità, sicuramente più di 2 minuti ... ma il discorso non cambia, un cracker esperto entra in un attimo.

Discussione: password multiutente II

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

Permessi di invio