Login sicuro postato il 08/03/2009 22:28:55 nel forum programmazione, gdrcd, open source, hosting
Buonasera, volevo sentire diversi pareri sul come realizzare un login sicuro e possibilmente anche anti-sniffing.
Ho letto un articolo su html.it (http://php.html.it/articoli/leggi/2251/login-sicuro-in-ajax-e-php/) e altri articoli in cui si propongo altre idee, ma effettivamente questo proposto da html.it mi sembra troppo macchinoso e con una macchina server non veloce e non dedicata potrebbe dare problemi (dai cgi-error al rallentamento).
Quindi, secondo voi, piuttosto che mandare la password in chiaro, cosa conviene fare? :)
Mi era piaciuta una proposta, ovvero quella di concatenare con javascript al momento dell'invio l'hash (ottenuto in sha1) della password concatenata ad una stringa di sessione casuale.
ovvero
sha1(pass+sess_rand).
Voi cosa ne pensate?
Avete altre idee?
Grazie :)
Pagine → 1 2
09/03/2009 08:18:06
Sembra intreressante :-)
Magari ricrittando il risultato poi in md5, in modo da ridurre il numero di caratteri...
Ciò mi fa ricordare che devo mandarti un MP. :-)
09/03/2009 12:08:05 e modificato da darkside of breakfast il 09/03/2009 12:09:11
Partendo dal presupposto che sto sviluppando un'applicazione che poi sarà distribuita come os - e quindi ultraleggibile da tutti - il fatto che mi interessa non è tanto che sarà comprensibile il meccanismo, perchè quello è scontato e lo esplicherò io stesso, ma più che altro volevo sapere quanto rischio e quali sono le migliori preucazioni da prendere.
Allora..
Ecco così come è XD
abbiamo un ip criptato in sha512.
Una password che viene scritta nell'input. (in chiaro e non codificata)
Poi, al momento del submit del form:
Passo in sha1 la password (perchè sul db è criptata così), poi la passo in sha512, poi la aggiungo all'ip criptato (da php, quindi non è in chiaro), e ottengo l'hash in sha512 di questa concatenazione.
Sostituisco questo cosone alla stringa di input, faccio partire il form, dall'altra parte eseguo la soluzione uguale ripescando la pass (già criptata in sha1).
Dite che potrebbe andare? XD
ps: grazie per il file js raz, utilissimo :*
09/03/2009 13:16:15
09/03/2009 13:49:20
09/03/2009 18:29:22
Server per far girare java? °---°"
Ad ogni modo no, scomodare java per un login di un progetto open source mi appare eccessivo.
Comunque ho risolto, se a qualcuno interessasse potete contattarmi privatamente :)
09/03/2009 19:24:05
Scusatemi se posto ancora, ma visto l'interesse che ha riscosso questo topic creerò una patch a se' stante con tanto di download e demo :)
09/03/2009 21:18:58 e modificato da mitsunari il 09/03/2009 21:37:52
09/03/2009 21:44:08 e modificato da darkside of breakfast il 09/03/2009 21:51:27
Ci ho ripensato :P
Scriverò qui una sorta di tutorial.
Ecco il procedimento:
file: accesso.php
PhP
10/03/2009 14:51:44 e modificato da darkside of breakfast il 10/03/2009 15:36:06
21/06/2009 01:21:20
dark potresti postare per favore le modalità di accesso al DB e lo script di registrazione per il tuo esempio?
Grazie
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
I dati del generatore di rank sono stati aggiornati!
NosTale → Con l’aiuto della spada e della bacchetta magica risolverai abilmente intricate missioni e domerai coraggiosamente mostri selvaggi!
Il gestore di Hikaru No Tohei - Le Luci di Tohei ha risposto alla recensione di panda a pois
Il gestore di Hikaru No Tohei - Le Luci di Tohei ha risposto alla recensione di mhel
Ikariam → Su una piccola isola, in qualche parte del Mediterraneo, sorge un`antica civiltà. Sotto la tua guida inizia un`era di ricchezza e di scoperte!
Roma I Triumviri: Rito di purificazione
NosTale: Scrigno Fiore Anima malvagia
Age of Crystals: I Giorni della Luna Nera ❤ Evento Rosa
Il gestore di Hikaru No Tohei - Le Luci di Tohei ha risposto alla recensione di mountainworker
Lineage II → Entra in uno sconfinato mondo fantasy dominato da razze in contrasto tra loro. Scatena i tuoi poteri in uno dei Mmo più famosi al mondo!
Il gestore di Fervm ha risposto alla recensione di irya
Hikaru No Tohei - Le Luci di Tohei: Butanews! - la V. Week è iniziata... Giorni fa! ❤
Il gestore di Le Cronache di Raja Dunia ha risposto alla recensione di enverfrasheri
heruannon ha recensito Left To Survive
Sponsorizzati con noi! → Sponsorizza il tuo gioco su GDR-online! Trova nuovi giocatori fra i migliaia di appassionati che ogni giorno visitano il portale!
Giochi di Wrestling - Lista completa dei giochi di ruolo online ambientati nel patinato mondo del Wrestling
For.Ev.Er. You.N.G. - FOR.EV.ER. YOU.N.G. è il Larp Cyberpunk tra le mura di Lucca! Scopriamolo assieme!
PokèMaster Land - Intervista al gestore di PokèMaster Land.. il play by chat sui Pokèmon!
The Coven - Intervista alla gestrice del play by forum urban fantasy The Coven
AfterHogwarts GDR - Intervista ai gestori del GdR play by forum potteriano AfterHogwarts GDR!
Accent Rpg Engine - Intervista al creatore dell'Open Source "Accent Rpg Engine"