Repository 32bit  Forum
Repository 64bit  Wiki

login in una pagina html

Forum dedicato alla programmazione.

Moderatore: Staff

Regole del forum
1) Citare in modo preciso il linguaggio di programmazione usato.
2) Se possibile portare un esempio del risultato atteso.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

login in una pagina html

Messaggioda ccts2002 » mar giu 02, 2009 19:04

ciao a tutti!
mi sto dilettando nel creare un sito web in xhtml/php/mysql.
al momento sto cercando di pensare un metodo abbastanza sicuro per effettuare il login in modo da entrare in una sezione "ammistratore" da dove poter modificare qualche dato del sito.
al momento il form è del semplicissimo, con due campi, username e password, che viene poi trasmessa in chiaro tramite POST e confrontata con un database.
questo perché penso che criptare la password (che poi verrebbe trasmessa comunque in chiaro) o creare un form in java non da nessun valore aggiunto in termini di sicurezza. sbaglio?
quali sono le vostre esperienze/idee?

grazie!
Avatar utente
ccts2002
Linux 2.0
Linux 2.0
 
Messaggi: 155
Iscritto il: gio nov 09, 2006 23:20
Località: milano - trieste - catania

Re: login in una pagina html

Messaggioda shark1500 » mar giu 02, 2009 19:37

Se vuoi una sicurezza dovresti avere un login con https.

Questo e` l'unico metodo (per quanto ne so io), altrimenti il POST viene sempre inviato in chiaro, ed uno che sniffa un po` di traffico potrebbe beccarlo
Avatar utente
shark1500
Linux 2.6
Linux 2.6
 
Messaggi: 785
Iscritto il: gio apr 03, 2008 13:33
Località: Modna
Slackware: current
Kernel: 2.6.27.7-smp
Desktop: kde

Re: login in una pagina html

Messaggioda teox99 » mar giu 02, 2009 22:05

il modo piu sucuro che puoi usare e' .htaccess
qui puoi capire di che si tratta http://en.wikipedia.org/wiki/Htaccess

altrimenti puoi usare un post che controlli le relative pwd salvate in md5 nel db mysql

oppure altro buon metodo e' quello di salvare le pwd (sempre in md5 o hash) in un file.
Avatar utente
teox99
Linux 2.6
Linux 2.6
 
Messaggi: 733
Iscritto il: ven lug 25, 2008 13:54
Località: Roma[Eur]
Slackware: 13.37
Desktop: KDE - Xfce

Re: login in una pagina html

Messaggioda raffaele181188 » mar giu 02, 2009 22:08

Aggiungo che https si paga :D quindi considera se ne vale la pena: slacky (phpBB,) per esempio, non lo usa
Le password nel database vanno salvate sempre crittate, così se qualcuno può accedere al database comunque non può conoscere le password
Eventualmente puoi anche crittare le password sul browser prima dell'invio usando l'algoritmo che preferisci (per esempio un hash) ma non deve essere una pratica molto usata, anche perchè genera problemi nell'ottica della degradabilità (considera che il Javascript si può sempre disabilitare...)
I form in Java non li ho mai visti :D
Avatar utente
raffaele181188
Packager
Packager
 
Messaggi: 789
Iscritto il: ven set 07, 2007 20:40
Località: DearSkin (FG)
Nome Cognome: Raffaele
Slackware: current
Kernel: 2.6.29.6
Desktop: KDE 4.3
Distribuzione: Ubuntu

Re: login in una pagina html

Messaggioda Ansa89 » mer giu 03, 2009 7:18

raffaele181188 ha scritto:https si paga

In realtà se crei un cretificato autofirmato non paghi niente e puoi usare il protocollo https.
Avatar utente
Ansa89
Iper Master
Iper Master
 
Messaggi: 2623
Iscritto il: mer ago 29, 2007 16:57
Località: Modena
Nome Cognome: Stefano Ansaloni
Slackware: 13.1
Kernel: 3.16.1-ck1
Desktop: XFCE 4.6.1

Re: login in una pagina html

Messaggioda aschenaz » mer giu 03, 2009 7:36

Come ti hanno detto, dipende molto dal grado di sicurezza che vuoi dare al tuo
accesso autenticato: se ne va di mezzo la sicurezza nazionale, l'unico sistema
è quello di usare il protocollo SSL (anzi, ora TLS... https per intenderci).
Avere un certificato da un'autorità riconosciuta costa (e in genere il certificato
scade e bisogna rinnovarlo); autocrearsi il certificato non costa, ma poi l'utente
si deve sorbire l'antipatico messaggio del browser (autorità non certificata bla-bla...)
e magari, per qualche utente particolarmente imbranato, potrebbe anche essere
un problema.

Personalmente, uso il sistema della password trasmessa in chiaro e salvata
in MD5 su database. Finora (facendo scongiuri) non ho mai avuto un problema.
Considera, però, che i siti che faccio io sono parrocchie, associazioni culturali...
pensieriemotivi.aschenaz.eu - music-blog
Avatar utente
aschenaz
Staff
Staff
 
Messaggi: 4433
Iscritto il: mar lug 27, 2004 23:00
Località: Reggio Calabria
Nome Cognome: Nino
Slackware: current 64bit
Kernel: 3.14.18
Desktop: KDE 4.10.5

Re: login in una pagina html

Messaggioda conraid » mer giu 03, 2009 9:26

Per la sezione amministrazione usa https (tanto gli amministratore non avranno problemi di quell'avvertimento di cui parlava nino)
Io fino a che wordpress non ha attivato https facevo degli hack assurdi per usarlo nell'area amministrativa, perché altrimenti non mi sarei di certo loggato da uffici/internetcafè/etc...
Anche una webmail senza ssl non la prendo nemmeno in considerazione sempre per il discorso di sopra.
Diverso da casa mia, dove deve essere sniffato dalle reti del provider (ed anche qui uso soluzioni non ssl solo se costretto), ma per esperienza ti posso dire che in postazioni pubbliche è quasi automatico così come in grandi uffici. Basta un pc con ettercap e prendi tutto
Usa SSL, se hai un server ti autogeneri il certificato, se sei hosting lo chiedi al provider (solitamente è già compreso di default)

La password nel DB sempre criptata

p.s.
questo per il problema che hai posto, se fai transazioni commerciali il discorso cambia
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: login in una pagina html

Messaggioda ccts2002 » mer giu 03, 2009 17:52

riassumendo...
il problema è semplice: permettere ad un utente di autenticarsi (intelligente vero?) per ora se è amministratore, ma il concetto lo vorrei poi estendere a un qualsiasi utente registrato. la cosa negativa è che potrebbe essere sniffato e quindi un qualsiasi malintenzionato potrebbe far danno.
le soluzioni da voi prospettate sono molteplici ma praticamente sono di tre tipi: accesso via htaccess, via https, o normalmente via form.
onestamente il discorso dell'https è quello che mi piace di più, però il fatto della necessità di un certificato registrato per evitare che qualcuno si "spaventi" per l'avviso che il certificato è non registrato mi frena, ma se avete qualche link utile vedo di approfondire la faccenda. :D
del discorso via .htaccess ne avevo sentito parlare, ma che garanzie da in termini di sicurezza? un eventuale sniffer cosa riesce a sniffare?
riguardo all'autenticazione via form, avevo già provato quasi tutto quello che mi avete proposto ma li avevo scartati dopo un semplice constatazione...la trasmissione è in chiaro!
mettiamo che io abbia un database con la password registrata in chiaro: ci sono due problemi, un eventuale sniffatore e un eventuale "furbone" che va a leggere nel database. il secondo personaggio può essere bloccato (per modo di dire) registrando la password in hash, ma il primo vince sempre! se invio la password in chiaro, lui la sniffa e può accedere, se la invio già in hash (come dice raffaele) lui sniffa l'hash e può inviare l'hash, accedendo un'altra volta!
quindi alla fine escludo questa tipologia di login.
ora approfondirò il discorso dell'https e dell'.htaccess, in attesa link o pareri contrari alle mie elucubrazioni sono molto ben accetti!!!!! :D

grazie!!!!!!!
Avatar utente
ccts2002
Linux 2.0
Linux 2.0
 
Messaggi: 155
Iscritto il: gio nov 09, 2006 23:20
Località: milano - trieste - catania

Re: login in una pagina html

Messaggioda conraid » mer giu 03, 2009 18:11

ccts2002 ha scritto:riassumendo...
le soluzioni da voi prospettate sono molteplici ma praticamente sono di tre tipi: accesso via htaccess, via https, o normalmente via form.


Forse non mi sono spiegato, le soluzioni sono due: o ssl o niente
il form ci sarà sempre, sia in ssl sia senza
.htaccess può servire a proteggere una sezione, ma anche qui se non progeggi quel che arriva al server non serve a niente.
Tu devi proteggere i dati in transito, cioè fare in modo che la connessione stessa sia criptata, è inutile far le cose dopo se hai paura di essere sniffato

Sul certificato fai-da-te non so se hai visto quanti siti lo hanno, anche di importanza notevole.
Se un utente si spaventa e tu hai paura di perdere utenti allora compri il certificato e via.
Ma se non fai transazioni commerciali non vedo l'utilità di spendere soldi per un certificato.
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: login in una pagina html

Messaggioda danix » mer giu 03, 2009 19:03

Corrado tu di solito effettui solo il login in ssl (su wordpress) o cifri tutta la sessione del pannello di controllo??
Avatar utente
danix
Staff
Staff
 
Messaggi: 3280
Iscritto il: ven ott 27, 2006 18:32
Località: Siderno (RC)
Nome Cognome: Danilo M.
Slackware: 64 14.0
Kernel: 3.2.29
Desktop: fluxbox

Re: login in una pagina html

Messaggioda conraid » mer giu 03, 2009 19:06

danix ha scritto:Corrado tu di solito effettui solo il login in ssl (su wordpress) o cifri tutta la sessione del pannello di controllo??


tutta la parte di admin, ora è integrata in wordpress per fortuna
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: login in una pagina html

Messaggioda aschenaz » gio giu 04, 2009 7:16

Comunque, credo che la parte fondamentale da criptare sia l'invio delle
credenziali. In effetti, la maggior parte delle applicazioni (anche le banche
on-line) si limitano a quella fase per la connessione cifrata, per poi abbandonarla
per le operazioni vere e proprie. Naturalmente poi hanno altri sistemi per le
operazioni a denaro...
pensieriemotivi.aschenaz.eu - music-blog
Avatar utente
aschenaz
Staff
Staff
 
Messaggi: 4433
Iscritto il: mar lug 27, 2004 23:00
Località: Reggio Calabria
Nome Cognome: Nino
Slackware: current 64bit
Kernel: 3.14.18
Desktop: KDE 4.10.5

Re: login in una pagina html

Messaggioda conraid » gio giu 04, 2009 9:06

aschenaz ha scritto:Comunque, credo che la parte fondamentale da criptare sia l'invio delle
credenziali. In effetti, la maggior parte delle applicazioni (anche le banche
on-line) si limitano a quella fase per la connessione cifrata, per poi abbandonarla
per le operazioni vere e proprie. Naturalmente poi hanno altri sistemi per le
operazioni a denaro...


viene memorizzato un id o altro però, e questo espone a rischi non indifferenti secondo me
posso capire una community (libero mi sembra faccia così), ma un home banking che usa un metodo simile sarebbe un buon motivo per chiudere il conto in quella banca in mia umile opinione
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: login in una pagina html

Messaggioda aschenaz » gio giu 04, 2009 11:47

conraid ha scritto:viene memorizzato un id o altro però, e questo espone a rischi non indifferenti secondo me
posso capire una community (libero mi sembra faccia così), ma un home banking che usa un metodo simile sarebbe un buon motivo per chiudere il conto in quella banca in mia umile opinione


Effettivamente, il BancoPosta adesso mantiene la cifratura per tutta la durata
della connessione. Inoltre, per le operazioni a denaro, bisogna generare una
password usa-e-getta (che serve cioé solo per la singola operazione) con un
dispositivo autonomo (una sorta di lettore smart-card portatile). Lo so, la
sicurezza assoluta non esiste, ma credo siamo sulla buona strada, no? :)
pensieriemotivi.aschenaz.eu - music-blog
Avatar utente
aschenaz
Staff
Staff
 
Messaggi: 4433
Iscritto il: mar lug 27, 2004 23:00
Località: Reggio Calabria
Nome Cognome: Nino
Slackware: current 64bit
Kernel: 3.14.18
Desktop: KDE 4.10.5

Re: login in una pagina html

Messaggioda conraid » gio giu 04, 2009 11:59

aschenaz ha scritto:
conraid ha scritto:viene memorizzato un id o altro però, e questo espone a rischi non indifferenti secondo me
posso capire una community (libero mi sembra faccia così), ma un home banking che usa un metodo simile sarebbe un buon motivo per chiudere il conto in quella banca in mia umile opinione


Effettivamente, il BancoPosta adesso mantiene la cifratura per tutta la durata
della connessione. Inoltre, per le operazioni a denaro, bisogna generare una
password usa-e-getta (che serve cioé solo per la singola operazione) con un
dispositivo autonomo (una sorta di lettore smart-card portatile). Lo so, la
sicurezza assoluta non esiste, ma credo siamo sulla buona strada, no? :)


in mia umile ma molto umile opinione bancoposta da questo punto di vista è uno dei migliori. Prima avevo anche un conto alla BPEL e mamma mia... password scritta su un foglio di carta al momento del contratto e non più modificabile autonomamente, per non andare oltre.
Erano i primi anni 2000 però, spero vivamente che si siano evoluti :-)
Altre persone mi parlano di banche con autenticazione tramite strani aggeggi in java installabili solo su windows (spero sia una diceria)
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12022
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Prossimo

Torna a Programmazione

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite