cambia poco e nulla se l'autenticazione la fai usando l'hash della password intercettano quello ti pare?
cambia poco e nulla se l'autenticazione la fai usando l'hash della password intercettano quello ti pare?
Ciro Marotta - Programmatore JAVA - PHP
Preferisco un fallimento alle mie condizioni che un successo alle condizioni altrui.
in che senso?Originariamente inviata da ciro78
un conto è intercettare ciao.
un conto è intercettare 189fb7e783rh28yfh8w29jrnf8287y3b.
o sbaglio?
Ni...
se l'importante � non far sapere la password si, cambia ovviamente, ma se vuoi impedire l'accesso no, non cambia nulla perch� si pu� usare lo stesso per accedere... A meno che non la cripti in maniera che sia monouso. Ma questo � un po diverso... Intendo dire che al momento del caricamento della pagina usi la crittografia e scambi una chiave (appunto mono uso: la volta successiva cambi) con il client, sempre tenendo presente che il problema si sposta sul consegnare la key al client in quanto verrebbe intercettata a sua volta rendendo di fatto inutile la stessa. Quindi entra in gioco la crittografia asimmetrica per consegnare la key al client, ma per renderla efficace anche contro gli attacchi MIMT deve entrare in gioco una terza parte di fiducia che certifica l'autenticit� delle parti.
Ma per fare tutto ci� esiste un modo semplice: SSL. Che pu� essere auto-certificato (senza fiducia dei browser) o certificato da diverse authority con diversi gradi di attendibilit�. I secondi nella maggior parte dei casi sono certificati costosi, a meno che non sia per uso personale, in quel caso trovi anche certificati gratuiti.
Ultima modifica di U235; 22-02-2017 a 17:07
Permessi di invio
Rispondi quotando