Autenticazione Sicura

[alabasta]

Ragazzi, sto navigando da un bel po... ma nn riesco a trovare un metodo semplice e funzionale per implementare in php e semmai usando mysql un sistema di autenticazione al mio sito web. Non sono molto esperto in php quindi mi servirebbe una guida abbastanza semplice...
Grazie.
Premetto che ho visitato la pagina http://php.html.it/guide/lezione/299...ne-in-pratica/ ma che nn sono riuscito a capire dove trovare le funzioni che vengono usate...
Sostanzialmente dovebbe essere un problema che affrontano tutti quelli che vogliono usare https.... niente di particolare

[filippo.toso]

nn sono riuscito a capire dove trovare le funzioni che vengono usate...

Di quali funzioni parli?
Hai provato sul manuale ufficiale?

[Enoa]

dai un' occhiata a questa risorsa:
Sessioni alternative in php

in che senso è un problema che devono affrontare tutti quelli che vogliono usare https?

[alabasta]

Forse, non sono stato troppo chiaro... Allora sto gestendo un sito al quale non devono poter accedere tutti. Uso per questo motivo, user id e password. Tuttavia, http è stateless e non usa per default connessioni cifrate (altrimenti perderebbe la sua proprietà). In questo modo quando un utente fa il login sul mio sito, esso invia delle informazioni personali in chiaro. Come faccio ad evitare tutto ciò? Ho letto l'articolo sulle sezioni, ma sembra che non parli di sicurezza.

[filippo.toso]

Utilizzi HTTPS invece che HTTP e le sessioni.

[alabasta]

molto bene come faccio ora ad usare https?
Per ora ho questo...

codice:

<html> 
<title>Login utente</title> 
<center><h1>Login utente</h1></center> 
<form method="POST" action="submit_login.php"> 
<table align="center">  
<tr><td align="right">Nome utente:</td>
<td><input type="text" name="user" size="32"/></td></tr> 
<tr><td align="right">Password:</td>		
<td><input type="password" name="pass" size="32"/></td></tr> <tr>
<td align="right"></td>
<td align="right"><input type="reset"/><input type="submit"/></td> </tr> 
</table>  
</form> 
</html>

[Habanero]

Deve essere il server a supportare https... non lo fai in PHP!!!!
Apache deve aver caricato il modulo mod_ssl, devi avere installato un certificato (comprato o autogenerato) e aver impostato il file di configurazione di Apache perchè crei un virtual server che usi SSL.

Nulla di tutto questo si fa con PHP.

[alabasta]

Ok tante grazie... Ho usato sha-1 con uno script java per evitare che la pasword viaggi in chiaro...penso che questo sia sufficiente.

[Enoa]

ma poi sul server il confronto come lo fai? fai l'md5 dello sha? o usi lo sha direttamente?
e se "io" ti "sniffo" la stringa dello sha?
non conoscerò la password originale, ma mi sa che il risultato non cambia, la stringa criptata dello sha viaggia in chiaro...

vado a naso eh, se non è così sono interessato anche io allo script che usi

[Habanero]

I dubbi di Enoa sono assolutamente giustificati... mandare un semplice hash non risolve molto... l'hash mandato in quel modo è praticamente un'altra password in chiaro. Posso sniffare l'hash e rimandarlo tale e quale. E' un attacco di tipo play-back (o replay attack).

Si può invece migliorare la cosa con un qualche protocollo di challenge-response. Il server apre una sessione con client e gli manda una stringa casuale (challenge), è importante che sia ogni volta diversa. Il client esegue l'hash della concatenazione di stringa casuale e password inserita dall'utente e la invia al server (reponse). Nella sessione instaurata il server avrà memorizzato la stringa casuale temporanea per quell'utente. Il server che conosce sia la stringa casuale che la password dell'utente può eseguire la stessa operazione e per confronto autenticare o meno il client.

Ogni operazione di sniffing produrrà un hash non più riutilizzabile in quanto all'attacante verrà richiesto di rispondere ad un challenge diverso.