I commenti sono aggiunti quando e soprattutto se ho il tempo di guardarli (io o l'autore della storia) e dopo aver eliminato le cagate, spam, tentativi di phishing et similia. Quindi non trattenete il respiro.
In aggiunta: se il vostro commento non viene pubblicato non scrivetemi al riguardo, evidentemente non era degno di pubblicazione.
MD5 is not so bad Di Paolo postato il 30/09/2009 17:38
Nel DB ti tieni l'md5 della pwd, cosė gli admin non possono scoprire gli orientamenti sessuali dei tuoi utenti (LOL).
Nella pagina di login fornisci dal server un numero univoco ogni volta (una challenge associata alla sessione) e lato client fai
md5(md5(pwd)+challenge)
Chiaramente lato server verifichi la stessa cosa per capire se il login sia ok.
Risultato: non fai girare la pwd in chiaro, non fai girare sempre lo stesso md5, e un "man in the middle" che sniffi il traffico non può riutilizzare l'md5 che ha letto perché ogni volta la challenge cambia.
Problemi:
1. md5 non è più considerato sicuro al 100%, meglio sha1
2. mi sfugge come fargli cambiare la pwd, in un certo momento dovrai spedire via web l'md5 della sola pwd (ma per esempio potresti generargliele tu e mandargliele via email, cosė cambierebbe il canale)
Cmq concordo, HTTPS è meglio. Se vai su Godaddy un certificato SSL base (es. per uso interno, non per ecommerce, giusto per non dover importare il certificato ed evitare l'errore di certificato errato) costa meno di 20 euro l'anno...
Ciao!
-- Paolo
o.. Di Riccardo Cagnasso postato il 30/09/2009 21:00
password di default Di Eugenio Dorigati postato il 01/10/2009 22:16
Spedire password in hash Di Kesty postato il 02/10/2009 00:03
Sicuramente non per l'assurdo motivo che descrivi nella tua storia.
Molta gente usa le stesse password per più cose. Farla passare già criptata, prossibilmente con un salt, permette che se la connessione viene intercettata chi fa l'attacco riesca solo a beccare un hash che può funzionare solo per la tua applicazione.
Andando oltre potresti provare ad usare un salt basato sul tempo, che permetterebbe all'hash ntercettato di essere valido per solo un tempo limitato.
Certo chi attacca può risalire al salt usato per quell'hash in quanto si troverebbe più o meno offuscato dentro un Javascript e quindi facilmente leggibile. Da li ricreare un dizionario usando il salt trovato e provare a fare un bruteforce sull'hash per risalire alla password, ma gli complicheresti senz'altro di molto la vita.
E l'https non è che sia la soluzione finale a tutti i mali, anzi. -- Kesty
@ Kesty Di Golan Trevize postato il 05/10/2009 08:42
Ecco, fammi aggiungere ROTFL.
> Andando oltre potresti provare ad usare un salt basato sul tempo, che permetterebbe all'hash ntercettato di essere valido per solo un tempo limitato.
Implementata cosė avrebbe un senso. Altrimenti non serve a niente secondo me.
Comunque, una cosetta del genere sarebbe il classico caso di PAP.
(Perle Ai Porci)
-- Golan Trevize
@ Kesty Di Val3r10 postato il 23/03/2010 00:02
> tramite una connessione sicura non è una cosa stupida da fare.
Non si capisce il senso di spedire un hash, visto che diventerebbe essa stessa la password IN CHIARO...
Il challenge sarebbe effettuato sulla pwd in chiaro, che è appunto un hash md5. Non sul suo hash
-- Val3r10
Domande... Di Angkarn postato il 02/10/2009 12:29
Ad ogni modo, un simil-https casalingo per l'autenticazione, si può simulare facendo l'md5 della concatenazione della password con una stringa random generata dalla pagina di autenticazione e memorizzata come variabile di sessione sul server. Quantomeno la chiave che passa sulla rete è one-shot, e non valida per sempre, come nel caso di un semplice md5 della password stessa.
Per altro, sarebbe meglio SHA-1 che MD5.
-- Angkarn
@ Angkarn Di Golan Trevize postato il 05/10/2009 08:44
Ora infatti l'utente deve richiedere il cambio password. Riceve una mail con un link da schissare e può reimpostare la password.
La cosa divertente è che uno dei requisiti era ridurre AL MINIMO l'utilizzo delle email in quanto considerate NON affidabili (leggi: il server di posta s-configurato da SL non è affidabile, viene blacklistato un mese sė e l'altro anche)
> Ad ogni modo, un simil-https casalingo per l'autenticazione, si può simulare facendo l'md5 della concatenazione della password con una stringa random generata dalla pagina di autenticazione e memorizzata come variabile di sessione sul server. Quantomeno la chiave che passa sulla rete è one-shot, e non valida per sempre, come nel caso di un semplice md5 della password stessa.
L'idea non è male, ma come nel commento precederente: PAP.
-- Golan Trevize
Oddio... Di Kurgan postato il 02/10/2009 23:10
-- Il massimo danno con il minimo sforzo
@ Kurgan Di Golan Trevize postato il 05/10/2009 08:51
Ho smesso di lottare anni fa affinché le cose siano fatte in modo sensato.
L'unica cosa che ne ho ricavato è stato il raddoppio della dose del farmaco contro il reflusso gastro-esofageo e un fastidioso eczema che va e viene.
Per cui lo schema è:
repeat
DB ha un nuovo requisito
IO dico come lo implementerei in modo sensato
DB lo vuole in un altro modo assurdo
IO lo faccio come dice DB
TFU
ClientiIncazzati=NumeroClienti
sleep(qualche mese)
IO lo rifaccio in modo sensato
ClientiIncazzati=0
until fired=true
It's an IT world. -- Golan Trevize
@ Golan Trevize Di Kurgan postato il 05/10/2009 11:13
> until fired=true
Oppure until you_quit=true.
Io mi cercherei un altro lavoro, con calma, ma ne cercherei un altro. Non puoi vivere di ansiolitici, medicine per l'ulcera, eccetera.
Non che io sia piu` sereno di te, intendiamoci, pero` un tentativo...
-- Il massimo danno con il minimo sforzo
@ Kurgan Di Golan Trevize postato il 05/10/2009 12:04
>
> Oppure until you_quit=true.
Mi sogno di notte questo momento.
> Io mi cercherei un altro lavoro, con calma, ma ne cercherei un altro. Non puoi vivere di ansiolitici, medicine per l'ulcera, eccetera.
Son già due anni che con calma sto cercando. Non è cosė facile quando si impilano molte cose nel curriculum, si ha una certa età, si prende un determinato stipendio (e si vorrebbe quanto meno mantenerlo... non dico prendere di più!)
Molti vogliono la competenza, vogliono chi gli risolva i problemi ma poi pretendono la vita in cambio (nessun orario, dedizione totale alla causa) e storcono il naso sullo stipendio a dir loro troppo alto.
Non è un gran momento, almeno per le realtà con cui sono in contatto... speriamo bene!
-- Golan Trevize
@ Golan Trevize Di Kurgan postato il 06/10/2009 11:47
Mi ricorda qualcosa... un mio cliente che mi dice "Guarda, io te lo dico chiaro: con te ci troviamo benissimo, sei sempre presente nelle emergenze, risolvi tutti i problemi, e anzi da quando lavori per noi i problemi sono tutti spariti, pero` costi troppo, o ci fai lo sconto o andiamo da un altro".
La mia risposta: "Andate da un altro, poi quando tutti i problemi salteranno fuori di nuovo, tornate da me, che in quell'occasione dovro` rimettere a posto tutti i casini e vi costero` 3000 euro di consulenza solo per tornare ad avere qualcosa che funziona".
Sono rimasti con me.
-- Il massimo danno con il minimo sforzo
... Di Jepessen postato il 29/10/2009 12:56
@ Jepessen Di Golan Trevize postato il 30/10/2009 08:42
Si rompe tutto come la maggioranza dei siti "moderni".
-- Golan Trevize
@ kurgan Di Massimo M. postato il 21/01/2010 15:42
1) hai detto una cosa sacrosanta
2) il tuo cliente e' braccino corto, forse, ma non stupido -- Massimo M.
