[PHP] Ottimizzare login
Moderatore: Staff
Regole del forum
1) Citare in modo preciso il linguaggio di programmazione usato.
2) Se possibile portare un esempio del risultato atteso.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare in modo preciso il linguaggio di programmazione usato.
2) Se possibile portare un esempio del risultato atteso.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- boh
- Linux 4.x
- Messaggi: 1027
- Iscritto il: ven 16 set 2005, 0:00
- Slackware: 14.2 (x64)
- Kernel: 4.4.111
- Desktop: KDE 4.14.32
- Località: Milano
- Contatta:
Re: [PHP] Ottimizzare login
Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità
"Be yourself. Everyone else is already taken." ~ Oscar Wilde
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: [PHP] Ottimizzare login
si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità
diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Re: [PHP] Ottimizzare login
no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)miklos ha scritto:si anche se pure li', soprattutto in lan locali.. ma ho letto in giro che si puo' fare anche con qualche router del quale si conosce l'indirizzo ip pubblico l'https si puo' sempre fregare. infatti chi se lo puo' permettere oramai fa l'autenticazione doppia con sms o simili.boh ha scritto:Sì sì ovvio, https è sicuramente la soluzione migliore! La mia era solo curiosità
diciamo che queste tecniche servono solo per nn farsi 'fregare' dal primo lamer che passa
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: [PHP] Ottimizzare login
è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.masalapianta ha scritto:no, non puoi "fregare https",
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Re: [PHP] Ottimizzare login
aridaje, no, non puoi "fregare https", al massimo puoi fregare l'utente fesso che non sa usare https e non controlla che la pagina che sta usando sia effettivamente sotto ssl e che il certificato sia quello che dovrebbe essere (che non è una vulnerabilità di https ma PEBKAC)miklos ha scritto:è abbastanza poco probabile, ma in realta con l'arpspoofing e ettercap qualche volta ci si riesce.masalapianta ha scritto:no, non puoi "fregare https",
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: [PHP] Ottimizzare login
http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe
mo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.
comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Re: [PHP] Ottimizzare login
esatto, è un vecchio buco patchato, (che tralaltro all'epoca non ti avrebbe permesso di vedere la password di chi si autenticava, ma solo di iniettare traffico nel protocollo http ma non di vedere le richieste del client e le risposte del server al client) quindi come ho detto non puoi "fregare https"miklos ha scritto:http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.htmlmo che poi una volta trovato il buco c'hanno messo la pezza (disabilitando la rinegoziazione nella maggior parte dei web server) e n'altro discorso.Most Web applications do initial authentication via a username/password pair and then persist that authentication state with HTTP cookies (a secret token that is sent with any request). An attacker might exploit this issue by sending a partial HTTP request of his own that requested some resource. This then gets prefixed to the client's real request.
tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale, personalmente consiglio l'uso di UUID per la generazione del token in quanto esistono librerie per la generazione di UUID in quasi tutti i linguaggi ed imho è il sistema meno rognoso (NON usate variabili di sessione e relativi cookie); ma continuo a consigliare https, ad oggi è la migliore e più completa soluzione.comunque sia il tuo suggerimento per il login (che poi ho visto essere usato anche in altri protocolli con la P maiuscola.. tipo l'autenticazione cram-md5 dell'smtp) potrebbe diventare un tutorial sul wiki.. e ribadisco potrebbe
-
- Master
- Messaggi: 1645
- Iscritto il: lun 16 lug 2007, 17:39
- Slackware: 15.0 64bit
- Kernel: 5.15.27
- Desktop: kde
- Località: Roma
Re: [PHP] Ottimizzare login
evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferitimasalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale
- masalapianta
- Iper Master
- Messaggi: 2775
- Iscritto il: lun 25 lug 2005, 0:00
- Nome Cognome: famoso porco
- Kernel: uname -r
- Desktop: awesome
- Distribuzione: Debian
- Località: Roma
- Contatta:
Re: [PHP] Ottimizzare login
ma è una perdita di tempo, usate https e vivete felici.miklos ha scritto:evabbe.. se mai avessi il tempo di descrivere, in italiano corrente, una pratica implementazione in php + javascript non mi offendo se nn ce lo metti fra i preferitimasalapianta ha scritto:tutorial per cosa? l'algoritmo è semplicissimo (infatti l'ho descritto in poche righe) e l'implementazione è altrettanto banale