[PHP] Ottimizzare login

Forum dedicato alla programmazione.

Moderatore: Staff

Regole del forum
1) Citare in modo preciso il linguaggio di programmazione usato.
2) Se possibile portare un esempio del risultato atteso.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
boh
Linux 4.x
Linux 4.x
Messaggi: 1027
Iscritto il: ven 16 set 2005, 0:00
Slackware: 14.2 (x64)
Kernel: 4.4.111
Desktop: KDE 4.14.32
Località: Milano
Contatta:

Re: [PHP] Ottimizzare login

Messaggio da boh »

Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
"Be yourself. Everyone else is already taken." ~ Oscar Wilde

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: [PHP] Ottimizzare login

Messaggio da ilmich »

boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.

diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa :)
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: [PHP] Ottimizzare login

Messaggio da masalapianta »

miklos ha scritto:
boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità :)
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.

diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa :)
no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: [PHP] Ottimizzare login

Messaggio da ilmich »

masalapianta ha scritto:no, non puoi "fregare https",
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: [PHP] Ottimizzare login

Messaggio da masalapianta »

miklos ha scritto:
masalapianta ha scritto:no, non puoi "fregare https",
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.
aridaje, no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: [PHP] Ottimizzare login

Messaggio da ilmich »

http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.
mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.

comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe ;)
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: [PHP] Ottimizzare login

Messaggio da masalapianta »

miklos ha scritto:http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.
mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.
esatto, è un vecchio buco patchato, (che tralaltro all'epoca non ti avrebbe permesso di vedere la password di chi si autenticava, ma solo di iniettare traffico nel protocollo http ma non di vedere le richieste del client e le risposte del server al client) quindi come ho detto non puoi "fregare https"
comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe ;)
tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale, personalmente consiglio l'uso di UUID per la generazione del token in quanto esistono librerie per la generazione di UUID in quasi tutti i linguaggi ed imho è il sistema meno rognoso (NON usate variabili di sessione e relativi cookie); ma continuo a consigliare https, ad oggi è la migliore e più completa soluzione.

ilmich
Master
Master
Messaggi: 1645
Iscritto il: lun 16 lug 2007, 17:39
Slackware: 15.0 64bit
Kernel: 5.15.27
Desktop: kde
Località: Roma

Re: [PHP] Ottimizzare login

Messaggio da ilmich »

masalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferiti :D
#LiveSimple and #ProgramThings
https://github.com/ilmich
http://ilmich6502.it/

Avatar utente
masalapianta
Iper Master
Iper Master
Messaggi: 2775
Iscritto il: lun 25 lug 2005, 0:00
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian
Località: Roma
Contatta:

Re: [PHP] Ottimizzare login

Messaggio da masalapianta »

miklos ha scritto:
masalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferiti :D
ma è una perdita di tempo, usate https e vivete felici.

Rispondi