Sono un nuovo user del forum, quindi
Ho letto un pò di post riguardanti la procedura di login utente e i metodi più o meno validi utilizzati per ridurre il rischio di esposizione dei dati personali attraverso connessioni HTTP.
Vorrei (gentimente) avere una delucidazione a proposito del metodo proposto da un'utente che ha come nick "andr3a".
Il suo metodo javascript si basa (se nn ho capito male) sulla generazione di una stringa di hash della password inserita dall'utente nel form.
Una volta che questa viene inviata al server, viene verificata la corrispondenza tra l'hash inviato dal client e quello calcolato sul server (nel db).
DOMANDA:
Intercettando la pagina con uno sniffer e rilevando per intero header e html, vengo in possesso delle due stringhe di hash (in chiaro) dello user e della password utente.
Tecnicamente non ho la userid e la password, ma ho in mano le chiavi di accesso a quello specifico account in quanto modificando la pagina di login (elimino la parte javascript) ed inviando direttamente le chiavi attraverso il form, accedo a tutti gli effeti ai dati del corrispondente account.
Se mi è sfuggito qualcosa vi prego di correggermi, ripeto sono nuovo e non ho potuto leggere TUTTI i post di questa sezione e le loro evoluzioni. Magari qyesto particolare risvolto del problema lo avete già trattato... nel caso gentilmente aggiornatemi.
ALTERNATIVA
Sulla base di quanto scritto sopra ho cercato delle alternative che potessero essere utilizzate per evitare il problema sopracitato ed ho trovato alcune utility in javascript che permettono di utilizzare l'algoritmo RSA a chiave pubblica. In pratica la chiave pubblica serve per crittare i dati sul lato client e la chiave privata per decrittare i dati sul lato server.
Una pagina d'esempio è la seguente:
http://www.ohdave.com/rsa/
Avete già affrontato questa alternativa ?
Se SI, potete gentilmente indicarmi il post ?
Altrimenti parliamone
Grazie
Rispondi quotando
