Oppure

Loading
Premio Stallman Estate 2012











Loading
12/09/12 18:01
Qwertj
non credo saranno in grado di fare granchè anche se riuscissero a fare il login
la gente che non supporta javascript è sacrificabile rispetto alla sicurezza di tutti gli altri, contando che in tutto il mondo saranno in 2
aaa
13/09/12 6:02
Maury91
stavo pensando al tuo hash in javascript, ovviamente se hashi la password prima di inviarla è perché hai paura che qualcuno possa controllare la connessione (man in the middle)

ammettiamo che qualcuno riesca a prendere gli headers che ho inviato alla pagina che chiedo
nel caso di password in chiaro
username : username_in_chiaro
pass : pass_in_chiaro

gli basterà inviare gli stessi dati per loggarsi

nel caso di password hashata

username : username_in_chiaro
pass : pass_con_hash

anche in questo caso gli basta inviare gli stessi dati per loggarsi, in parole povere non ho ottenuto nulla...
ma.. ho trovato un modo migliore

nel database aggiungo una tabella "token_pass" questa tabella ha due campi : id,token

quando l'utente deve fare il login gli do' altri due parametri :
token_id e token

e quando deve fare il login invierà questi dati

username : username_in_chiaro
pass : md5(md5(cost+pass)+token)+':'+md5(cost2+pass)
t_id : token_id

in questo modo anche prendendo i dati non si potrà eseguire un secondo login perché il token sarà scaduto dopo un utilizzo

la seconda parte della password è senza token per un motivo preciso, ammettiamo che qualcuno riesca a fare una sql injection e nel nostro database abbiamo : "token_in_chiaro" e "md5(cost+pass)" in parole povere ci son tutti i dati per eseguire il login, ma se io ho "md5(cost+pass):md5(md5(cost2+pass)+cost3)" faccio in modo che non abbia abbastanza dati per eseguire un login dal sql injection.. ovviamente l'account risulta compromesso nel caso qualcuno riesca a eseguire sia una sql injection che a prendere i dati scambiati tra utente e server, che diventa molto più raro degli altri 2 casi
aaa
13/09/12 8:38
Qwertj
Postato originariamente da Maury91:

stavo pensando al tuo hash in javascript, ovviamente se hashi la password prima di inviarla è perché hai paura che qualcuno possa controllare la connessione (man in the middle)

ammettiamo che qualcuno riesca a prendere gli headers che ho inviato alla pagina che chiedo
nel caso di password in chiaro
username : username_in_chiaro
pass : pass_in_chiaro

gli basterà inviare gli stessi dati per loggarsi

nel caso di password hashata

username : username_in_chiaro
pass : pass_con_hash

anche in questo caso gli basta inviare gli stessi dati per loggarsi, in parole povere non ho ottenuto nulla...


Hai ragione sai :pat: sono stupido!
aaa
13/09/12 8:49
Maury91
Postato originariamente da Qwertj:
Hai ragione sai :pat: sono stupido!


poi posso aver frainteso e hai suggerito direttamente il secondo metodo con il token xD
aaa
19/09/12 13:40
pierotofy
Ancora poche ore al termine!
Il mio blog: piero.dev
20/09/12 21:56
pierotofy
E il vincitore è.... Maury91! Con il suo progetto NiiCMS!

Congratulazioni!!!
Il mio blog: piero.dev
21/09/12 21:08
Bonny
Complimenti a tutti voi ragazzi :k:
aaa
24/09/12 21:29
Anonymous
complimenti maury...:k:

che libro è stato scelto?
aaa