Repository 32bit  Forum
Repository 64bit  Wiki

[PHP] Ottimizzare login

Forum dedicato alla programmazione.

Moderatore: Staff

Regole del forum
1) Citare in modo preciso il linguaggio di programmazione usato.
2) Se possibile portare un esempio del risultato atteso.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Re: [PHP] Ottimizzare login

Messaggioda boh » gio lug 04, 2013 19:21

Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
"Be yourself. Everyone else is already taken." ~ Oscar Wilde
Avatar utente
boh
Linux 2.6
Linux 2.6
 
Messaggi: 953
Iscritto il: gio set 15, 2005 23:00
Località: Milano
Slackware: 14.1 (x64)
Kernel: 3.14.1
Desktop: KDE 4.13.3

Re: [PHP] Ottimizzare login

Messaggioda miklos » gio lug 04, 2013 21:54

boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.

diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa :)
ho visto cose che voi astemi non potete immaginare
miklos
Linux 3.x
Linux 3.x
 
Messaggi: 1258
Iscritto il: lun lug 16, 2007 16:39
Località: Roma
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2

Re: [PHP] Ottimizzare login

Messaggioda masalapianta » gio lug 04, 2013 23:07

miklos ha scritto:
boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.

diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa :)

no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: [PHP] Ottimizzare login

Messaggioda miklos » ven lug 05, 2013 7:36

masalapianta ha scritto:no, non puoi "fregare https",
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.
ho visto cose che voi astemi non potete immaginare
miklos
Linux 3.x
Linux 3.x
 
Messaggi: 1258
Iscritto il: lun lug 16, 2007 16:39
Località: Roma
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2

Re: [PHP] Ottimizzare login

Messaggioda masalapianta » ven lug 05, 2013 9:57

miklos ha scritto:
masalapianta ha scritto:no, non puoi "fregare https",
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.

aridaje, no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: [PHP] Ottimizzare login

Messaggioda miklos » ven lug 05, 2013 10:24

http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.

mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.

comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe ;)
ho visto cose che voi astemi non potete immaginare
miklos
Linux 3.x
Linux 3.x
 
Messaggi: 1258
Iscritto il: lun lug 16, 2007 16:39
Località: Roma
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2

Re: [PHP] Ottimizzare login

Messaggioda masalapianta » ven lug 05, 2013 10:51

miklos ha scritto:http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.

mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.

esatto, è un vecchio buco patchato, (che tralaltro all'epoca non ti avrebbe permesso di vedere la password di chi si autenticava, ma solo di iniettare traffico nel protocollo http ma non di vedere le richieste del client e le risposte del server al client) quindi come ho detto non puoi "fregare https"
comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe ;)

tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale, personalmente consiglio l'uso di UUID per la generazione del token in quanto esistono librerie per la generazione di UUID in quasi tutti i linguaggi ed imho è il sistema meno rognoso (NON usate variabili di sessione e relativi cookie); ma continuo a consigliare https, ad oggi è la migliore e più completa soluzione.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Re: [PHP] Ottimizzare login

Messaggioda miklos » ven lug 05, 2013 11:43

masalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferiti :D
ho visto cose che voi astemi non potete immaginare
miklos
Linux 3.x
Linux 3.x
 
Messaggi: 1258
Iscritto il: lun lug 16, 2007 16:39
Località: Roma
Slackware: 14.1 64bit
Kernel: 3.16.3
Desktop: openbox 3.5.2

Re: [PHP] Ottimizzare login

Messaggioda masalapianta » ven lug 05, 2013 13:37

miklos ha scritto:
masalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferiti :D

ma è una perdita di tempo, usate https e vivete felici.
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Precedente

Torna a Programmazione

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite