Sicurezza delle sessioni

[borgo italia]

ciao
scusa ma c'è qualcosa che non mi torna (può essere il caldo), ma es

sia la pas in chiaro = S*9_bs*P (che è quelle che poi inserirà l'utente)

pass cripttata md5(sha1(pas)) nel db avrai pass = 890a29b1ae21f227ef52f6c4a7b56889
(così dici che salvi la pass con la doppia criptatuta)

se fai

$password1 = sha1($salt.sha1($salt.sha1('890a29b1ae21f227ef52f6c4a7b56889')));

e
$password2 = sha1($salt.sha1($salt.sha1('S*9_bs*P')));

come fa a essere $password1 == $password2 ?

 

[Malware]

Hai ragione non ha senso :fonzie:

Ora googlo e guardo come sfruttare un salt.

 

[borgo italia]

ciao
non è per il salt, ma come gestisci l'ambaradan
1) l'utente si crea la pass inserendola nel form di iscrizione
2) prima di salvare nel db
codifichi la pass
$password = sha1('password'); o altro metodo (metto sha1 tanto per capirsi)
e salvi la pass nella tua tabella
3) quando l'utente iscritto vuole accedere inserirà la pass
$pass_iserita=$_POST['pass'] quindi la verifica dovra essere

pseudocodice

if(sha1($pass_iserita) == $pass_estratta_da_db){
fai quello che devi fare
}else{
non sei autorizzato
}

comunque un modo per codificare (se il SOMMO è d'accordo) potrebbe essere
$password=hash('sha512',$pass, false) genera una stringa di 128 caratteri

 

[borgo italia]

ciao
se ti interessa vedere le codifiche quarda questo script che ho trovato e lerggermente riadattato

<?php
$password = "abracadabra";
echo "la parola è $password<br>";
echo "<table>";
echo "<tr><td>tipo codifica&nbsp;</td><td>&nbsp;lunghezza&nbsp;</td><td>&nbsp;parola codificata</td></tr>";
foreach (hash_algos() as $valore) {
        $codificata = hash($valore, $password, false);
        echo "<tr><td>$valore</td><td>". strlen($codificata)."</td><td>$codificata</td></tr>";
}
echo "</table>";
?>

 

[Malware]

Ciao e grazie
Sto assemblando un po' di informazioni.

Come sembra questo script?
Ho giocato con sha1, sha512 e salt.

$username=$_POST['usermame']; //username inserito
$inserita=$_POST['password']; //password inserita

$salt=mktime();
$salt=md5($username.sha1($salt));

$password = sha1($salt.sha1($salt.sha1($inserita)));
$password = hash('sha512',$password, false);

Salvo $salt e $password nel database.




Nel login faccio queste operazioni:

$username=$_POST['username']; //recupero username inserito
$password=$_POST['password']; //recupero username inserito

$salt=$blablabla[0]; //recupero salt dal db
$passdb=$blablabla[0]; //recupero pass dal db

$password = sha1($salt.sha1($salt.sha1($password)));
$password = hash('sha512',$password, false);

if ($password == $passdb) {
     echo 'ok';
}else{
     echo 'nah';
}

Ora dovrebbe essere abbastanza sicuro.............................................................SE non viene inserita come password 1234567890

Ma per questa possibilità implementerò uno script per bloccare i tentativi...tipo 5 ogni 15 minuti

 

[borgo italia]

ciao
mi sembra di abbastanza complesso come decriptazione, come già detto e anche tu il propbelama è la pass 123456. per quello la decido io (mi sono fatto una funzionicine per generarle), l'utente sa la scrive e se se la dimentica/perde si riiscrive