Login sicuro

darkside of breakfast

SCRIVI

Login sicuro postato il 08/03/2009 22:28:55 nel forum programmazione, gdrcd, open source, hosting

Buonasera, volevo sentire diversi pareri sul come realizzare un login sicuro e possibilmente anche anti-sniffing.

Ho letto un articolo su html.it (http://php.html.it/articoli/leggi/2251/login-sicuro-in-ajax-e-php/ ) e altri articoli in cui si propongo altre idee, ma effettivamente questo proposto da html.it mi sembra troppo macchinoso e con una macchina server non veloce e non dedicata potrebbe dare problemi (dai cgi-error al rallentamento).
Quindi, secondo voi, piuttosto che mandare la password in chiaro, cosa conviene fare? :)
Mi era piaciuta una proposta, ovvero quella di concatenare con javascript al momento dell'invio l'hash (ottenuto in sha1) della password concatenata ad una stringa di sessione casuale.
ovvero
sha1(pass+sess_rand).

Voi cosa ne pensate?
Avete altre idee?
Grazie :)

CRSED: F.O.A.D.CRSED: F.O.A.D. ↗
Brutale sparatutto MMO in cui vince l'ultimo giocatore che resta in vita! Il giocatore sarà accompagnato da armi realistiche e magie!

quota

Pagine → 1  2 

gemini

SCRIVI

09/03/2009 08:18:06

Sembra intreressante :-)
Magari ricrittando il risultato poi in md5, in modo da ridurre il numero di caratteri...
Ciò mi fa ricordare che devo mandarti un MP. :-)

"Ciò che accomuna le community dei giochi di ruolo online e le cittadine del primo medioevo è la cultura media delle loro popolazioni"

quota

darkside of breakfast

SCRIVI

09/03/2009 12:08:05 e modificato da darkside of breakfast il 09/03/2009 12:09:11

Partendo dal presupposto che sto sviluppando un'applicazione che poi sarà distribuita come os - e quindi ultraleggibile da tutti - il fatto che mi interessa non è tanto che sarà comprensibile il meccanismo, perchè quello è scontato e lo esplicherò io stesso, ma più che altro volevo sapere quanto rischio e quali sono le migliori preucazioni da prendere.
Allora..
Ecco così come è XD
abbiamo un ip criptato in sha512.
Una password che viene scritta nell'input. (in chiaro e non codificata)
Poi, al momento del submit del form:
Passo in sha1 la password (perchè sul db è criptata così), poi la passo in sha512, poi la aggiungo all'ip criptato (da php, quindi non è in chiaro), e ottengo l'hash in sha512 di questa concatenazione.
Sostituisco questo cosone alla stringa di input, faccio partire il form, dall'altra parte eseguo la soluzione uguale ripescando la pass (già criptata in sha1).

Dite che potrebbe andare? XD


ps: grazie per il file js raz, utilissimo :*

Storie di AgarthiStorie di Agarthi ↗
Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!

quota

darkside of breakfast

SCRIVI

09/03/2009 13:16:15

xenoriss ha scritto: Dark secondo me per un login sicuro Javascript deve essere messo da parte !!!


è impossibile mettere da parte javascript...
Solo con PhP, o qualsiasi altro linguaggio lato-server, la password verrebbe comunque inviata in chiaro (tramite un pacchetto di tipo post).
Bisogna agire sul pre-submit, e, fin dove arrivano le mie conoscenze, so che solo javascript può agire in tempo reale senza la necessità di rinviare la stringa.
Al massimo potrei fare un'applicazione in ajax, ma, per quanto mi riguarda, almeno al login volevo evitare il suo uso.

Seconda EraSeconda Era ↗
Vaste terre coperte di ombre e misteri, dove ogni eroe scrive la storia del Mondo di Eidel. Seconda Era, play by chat

quota

darkside of breakfast

SCRIVI

09/03/2009 13:49:20

xenoriss ha scritto: Hmmm con javascript più sicurezza? Hmmm va boh non insisto...


se hai altre idee puoi pure dirle eh XD
mica parlo ex cathedra :P

World of TanksWorld of Tanks ↗
Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!

quota

darkside of breakfast

SCRIVI

09/03/2009 18:29:22

Server per far girare java? °---°"

Ad ogni modo no, scomodare java per un login di un progetto open source mi appare eccessivo.
Comunque ho risolto, se a qualcuno interessasse potete contattarmi privatamente :)

World of WarshipWorld of Warship ↗
MMO gratuito con frenetiche battaglie navali ambientate nel ventesimo secolo. Salpa con la tua nave ed affronta i nemici!

quota

darkside of breakfast

SCRIVI

09/03/2009 19:24:05

Scusatemi se posto ancora, ma visto l'interesse che ha riscosso questo topic creerò una patch a se' stante con tanto di download e demo :)

Storie di AgarthiStorie di Agarthi ↗
Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!

quota

mitsunari

SCRIVI

09/03/2009 21:18:58 e modificato da mitsunari il 09/03/2009 21:37:52

xenoriss ha scritto: Vedi io per un login sicuro userei JAVA, ma i server per far girare questo linguaggio sono molto costosi, di conseguenza non saprei proprio darti un consiglio...

Prego? O.O
Per far girare un'applet java (jsp) su un server è sufficiente che il tuo provider ti fornisca un'applicazione come (ad esempio) TomCat che, essendo open-source, non vedo come possa far lievitare i costi.
http://tomcat.apache.org/
Per del puro java, inserito in una pagina html tramite il tag <object>, è sufficiente avere una JVM installata (e, anche qui, la gratuità del progetto è palese).
" Secondo gli antichi, una decisione andrebbe presa nello spazio di sette respiri. "

quota

darkside of breakfast

SCRIVI

09/03/2009 21:44:08 e modificato da darkside of breakfast il 09/03/2009 21:51:27

Ci ho ripensato :P
Scriverò qui una sorta di tutorial.
Ecco il procedimento:

file: accesso.php
PhP


<?php
session_start();
include("../inc/db.php");
function make_seed() {
return (double)microtime()*100000;
} //funzione per genererare il randomize
mt_srand(make_seed());
$num = mt_rand(1, 1500); //primo fattore casuale
$num2 = mt_rand(1, 25); //secondo fattore casuale
$num3 = $num/$num2; //divido il primo per il secondo
$CasualString = sha1($num3); //ne ottengo una stringa alfanumerica indecifrabile
$CasualSubstrString = substr($CasualString, 0, $num2); //della stringa alfanumerica prendo solo quei caratteri compresi tra zero ed il secondo fattore casuale
$_SESSION['SN'] = $CasualSubstrString; //la imposto come variabile di sessione per recuperare la stringa nella prossima pagina
$IpCriptatoEVarCasuale = hash(sha256, $_SERVER['REMOTE_ADDR'].$CasualSubstrString); //ottengo l'hash in sha256 dell'ip concatenato alla stringa casuale alfanumerica
?>

(X)HTML

<form method="post" action="login.php" name="login" onSubmit="submit_login(); return false;">
<input type="text" name="nome" size="45" /> Nome del PG<br/>
<input type="password" name="pass" size="45" /> Password<br/>
<br/>
<input type="submit" value="Accedi!" />
</form>

Molto semplice.. L'unica cosa da notare è il gestore d'evento onSubmit.
JavaScript

<script type="text/javascript" src="../javascript/sha.js"></script> <!-- file preso dalla libreria che ha segnalato raz-->
<script type="text/javascript">
function submit_login() {
var text= new jsSHA(document.login.pass.value); //istanzio l'oggetto
cripted= text.getHash("SHA-1", "HEX"); //ottengo l'hash in sha1 (perchè così ce l'ho sul database, altrimenti è un passaggio superfluo)
var cripted= new jsSHA(cripted); // istanzio di nuovo l'oggetto
cripted= cripted.getHash("SHA-256", "HEX"); //ottengo l'hash in sha256
definitive = "<?=$IpCriptatoEVarCasuale?>"+cripted; //concateno l'hash alla variabile php di prima
definitive = new jsSHA(definitive);
definitive = definitive.getHash("SHA-256", "HEX"); //ottengo un hash di entrambe, è ridondante, ma l'ho preferito perchè faccio un controllo anche sulla lunghezza della stringa.. potevo farlo comunque anche prima XD ma vabbè :P
document.login.pass.value = definitive; //aggiorno l'input
document.login.submit(); //invio il form
}
</script>

ragioniamo assieme:
non si può sniffare il pacchetto tipo post, perchè tanto anche se risalisse all'ip (che è criptato in sha256) c'è il fattore casuale aggiuntivo che rimescola ulteriormente il tutto ogni volta che si aggiorna la pagina.
non è utile utilizzare sistemi di tipo keylogging, perchè tanto il codice viene pesantemente rimescolato insieme ad altri fattori contingenti (ip e randomize).

Per la parte del login (sempre ricordandoci che la pass nel db è già in sha1):
PhP


function criptaPass($pass)
{
$StringaCasuale = $_SESSION['SN'];
$IpCriptato = hash(sha256, $_SERVER['REMOTE_ADDR'].$StringaCasuale);
$PassCriptata = hash(sha256, $pass);
$UnionePassEdIp = $IpCriptato.$PassCriptata;
$UnionePassEdIpCriptata = hash(sha256, $UnionePassEdIp);

return $UnionePassEdIpCriptata;
}


Spero che sia pensato in modo corretto e possa esservi utile.
:)

ps: ovviamente alla funzione criptaPass va passata la password presente sul database, per poi confrontarla con quella ricevuta via post..

Exclusive Villa GdRExclusive Villa GdR ↗
Las Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.

quota

darkside of breakfast

SCRIVI

10/03/2009 14:51:44 e modificato da darkside of breakfast il 10/03/2009 15:36:06

mr_faber ha scritto: Se invii una password pre-criptata per non fare intercettare la password in chiaro vuol dire che metti la tua pagina in condizione di accettare e riconoscere la password criptata. Quindi se un malintenzionato intercetta la password precriptata invece che la password criptata puo' comunque andare a manipolare lo script js una volta scaricata la pagina e fare il modo che invii la password precriptata come se l'aspetta il server. Si puo' sempre aggirare.

no, c'è il fattore casuale che si aggiorna ad ogni ri-caricamento della pagina ed è mescolato e criptato in una maniera pressochè vicina all'innarrivabile... Perchè faccio due rand, li fraziono, li passo in sha1 criptandoli per ottenere una stringa semi-indecifrabile, ne prendo in considerazione solo una parte (e la aprte non è mai fissa, ma random) la unisco all'ip e cripto tutto in sha256 (che è tutt'ora indecifrabile al 100%).
Anche se uno arrivasse a prendere tramite sniffing il pacchetto post che invia l'utente x, le variabili associate a questo sono uniche e totalmente randomizzate.

Se modifica la parte js, togliendo un parametro o quello che è, o inviando una stringa fissa presa tramite sniffing, il server riceverà una pass che non corrisponde a quella creata dai suoi calcoli... quindi darà errore :)

EnlistedEnlisted ↗
Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!

quota

roberto_lc

SCRIVI

21/06/2009 01:21:20

dark potresti postare per favore le modalità di accesso al DB e lo script di registrazione per il tuo esempio?
Grazie

RAID Shadow LegendsRAID Shadow Legends ↗
Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

quota

Discussione seguita da darkside of breakfast gemini

Pagine → 1  2 

Rispondi alla Discussione Segui Discussione Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum

Articoli, Interviste e altre Risorse!

Vulkania Vulkania
Recensione del gioco di ruolo online ambientato in un misterioso mondo fantasy
Reami Dimenticati Reami Dimenticati
Recensione del GDR Reami Dimenticati...entra nel mondo di D&D
New Orleans New Orleans
La Città dai Mille Volti: Crime, Feste, Mistero, Voodoo, Natura Incontaminata, Fama, Grattacieli, Luci Splendenti e Ombre Profonde.
Dragonland Dragonland
Intervista al gestore di Dragonland storico gioco di Dungeons and Dragons 3.5!

Pubblicità

Ultime dal Portale

annuncio Ex Gratia GDR ricerca Giocatore

news New Orleans: Chat Off Interna alla Land

World of Tanks World of TanksLanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!

news The Coven: Recap della settimana

news Storie di Agarthi: La Lunga Notte è arrivata

gdrrank I dati del generatore di rank sono stati aggiornati!

news Felix Felicis GdR - Harry Potter GdR: Le uova di... Natale? - Evento ON

Exclusive Villa GdR Exclusive Villa GdRLas Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.

news Ex Gratia GDR: Massima personalizzazione coi tratti specie!

forum nerelyn ha aperto una nuova discussione: Personaggio in cerca di Land

news The Eyrie GdR: Nuove Fazioni ed entrata in Beta

news Piume Nere: 🎄 Le Notti Sacre Sono Iniziate 🕯️

Crossout CrossoutTuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!

categoria La categoria Browser Game raggiunge i 3.900 giochi catalogati!

news RAID Shadow Legends: Anaxia la Rinata!

news Enlisted: Test aggiornamento "Fronte dell'Estremo Oriente"

news Ex Gratia GDR: Il nuovo manuale è online!

Hero Wars Hero WarsCostruisci la tua squadra di eroi leggendari e domina il campo di battaglia! Strategia, tattica e potenza si scontrano in questo RPG ricco di azione!

Pubblicità

Articoli

Statistiche Tecniche 2009
Statistiche Tecniche 2009 - Gdr-online.com pubblica i dati tecnici dei suoi visitatori! Scopri le risoluzioni e i browser maggiormente utilizzati!
Trends di Ricerca
Trends di Ricerca - L'evoluzione nel tempo dei volumi di ricerche sui motori di ricerca sulle chiavi di nostro interesse!
Meccanica dei Gdr
Meccanica dei Gdr - Scopri come sviluppare una meccanica per giochi di ruolo online con questi utili consigli
Giochi 2021
Giochi 2021 - Le schede di gioco più visitate del 2021! Scopri i giochi che hanno attirato di più l'attenzione!
Google Analytics 4
Google Analytics 4 - Universal Analytics va in pensione... lunga vita a Google Analytics 4!
DreamOfYou
DreamOfYou - Intervista ai gestori del gioco di ruolo fantasy via chat DreamOfYou
RAID Shadow Legends
RAID Shadow Legends - Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!
Gestori GDR
Gestori GDR - Dieci dritte per il buon gestore di gioco di ruolo online!