Pagina 2 di 2

Re: [PHP] Ottimizzare login

Inviato: gio lug 04, 2013 20:21
da boh
Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)

Re: [PHP] Ottimizzare login

Inviato: gio lug 04, 2013 22:54
da miklos
boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.

diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa :)

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 0:07
da masalapianta
miklos ha scritto:
boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.

diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa :)

no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 8:36
da miklos
masalapianta ha scritto:no, non puoi "fregare https",
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 10:57
da masalapianta
miklos ha scritto:
masalapianta ha scritto:no, non puoi "fregare https",
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.

aridaje, no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 11:24
da miklos
http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.

mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.

comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe ;)

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 11:51
da masalapianta
miklos ha scritto:http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.

mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.

esatto, è un vecchio buco patchato, (che tralaltro all'epoca non ti avrebbe permesso di vedere la password di chi si autenticava, ma solo di iniettare traffico nel protocollo http ma non di vedere le richieste del client e le risposte del server al client) quindi come ho detto non puoi "fregare https"
comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe ;)

tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale, personalmente consiglio l'uso di UUID per la generazione del token in quanto esistono librerie per la generazione di UUID in quasi tutti i linguaggi ed imho è il sistema meno rognoso (NON usate variabili di sessione e relativi cookie); ma continuo a consigliare https, ad oggi è la migliore e più completa soluzione.

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 12:43
da miklos
masalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferiti :D

Re: [PHP] Ottimizzare login

Inviato: ven lug 05, 2013 14:37
da masalapianta
miklos ha scritto:
masalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferiti :D

ma è una perdita di tempo, usate https e vivete felici.