12/09/12 18:01
Qwertj
non credo saranno in grado di fare granchè anche se riuscissero a fare il login
la gente che non supporta javascript è sacrificabile rispetto alla sicurezza di tutti gli altri, contando che in tutto il mondo saranno in 2
aaa
13/09/12 6:02
Maury91
stavo pensando al tuo hash in javascript, ovviamente se hashi la password prima di inviarla è perché hai paura che qualcuno possa controllare la connessione (man in the middle)
ammettiamo che qualcuno riesca a prendere gli headers che ho inviato alla pagina che chiedo
nel caso di password in chiaro
username : username_in_chiaro
pass : pass_in_chiaro
gli basterà inviare gli stessi dati per loggarsi
nel caso di password hashata
username : username_in_chiaro
pass : pass_con_hash
anche in questo caso gli basta inviare gli stessi dati per loggarsi, in parole povere non ho ottenuto nulla...
ma.. ho trovato un modo migliore
nel database aggiungo una tabella "token_pass" questa tabella ha due campi : id,token
quando l'utente deve fare il login gli do' altri due parametri :
token_id e token
e quando deve fare il login invierà questi dati
username : username_in_chiaro
pass : md5(md5(cost+pass)+token)+':'+md5(cost2+pass)
t_id : token_id
in questo modo anche prendendo i dati non si potrà eseguire un secondo login perché il token sarà scaduto dopo un utilizzo
la seconda parte della password è senza token per un motivo preciso, ammettiamo che qualcuno riesca a fare una sql injection e nel nostro database abbiamo : "token_in_chiaro" e "md5(cost+pass)" in parole povere ci son tutti i dati per eseguire il login, ma se io ho "md5(cost+pass):md5(md5(cost2+pass)+cost3)" faccio in modo che non abbia abbastanza dati per eseguire un login dal sql injection.. ovviamente l'account risulta compromesso nel caso qualcuno riesca a eseguire sia una sql injection che a prendere i dati scambiati tra utente e server, che diventa molto più raro degli altri 2 casi
aaa
19/09/12 13:40
pierotofy
Ancora poche ore al termine!
20/09/12 21:56
pierotofy
E il vincitore è.... Maury91! Con il suo progetto NiiCMS!
Congratulazioni!!!