Sicurezza delle sessioni

borgo italia · 2012-08-25T13:43:20+0200

ciao
scusa ma c'è qualcosa che non mi torna (può essere il caldo), ma es

sia la pas in chiaro = S*9_bs*P (che è quelle che poi inserirà l'utente)

pass cripttata md5(sha1(pas)) nel db avrai pass = 890a29b1ae21f227ef52f6c4a7b56889
(così dici che salvi la pass con la doppia criptatuta)

se fai

$password1 = sha1($salt.sha1($salt.sha1('890a29b1ae21f227ef52f6c4a7b56889')));

e
$password2 = sha1($salt.sha1($salt.sha1('S*9_bs*P')));

come fa a essere $password1 == $password2 ?

Malware · 2012-08-25T14:26:20+0200

Hai ragione non ha senso :fonzie:

Ora googlo e guardo come sfruttare un salt.

borgo italia · 2012-08-25T15:05:06+0200

ciao
non è per il salt, ma come gestisci l'ambaradan
1) l'utente si crea la pass inserendola nel form di iscrizione
2) prima di salvare nel db
codifichi la pass
$password = sha1('password'); o altro metodo (metto sha1 tanto per capirsi)
e salvi la pass nella tua tabella
3) quando l'utente iscritto vuole accedere inserirà la pass
$pass_iserita=$_POST['pass'] quindi la verifica dovra essere

pseudocodice

Codice:

if(sha1($pass_iserita) == $pass_estratta_da_db){
fai quello che devi fare
}else{
non sei autorizzato
}

comunque un modo per codificare (se il SOMMO è d'accordo) potrebbe essere
$password=hash('sha512',$pass, false) genera una stringa di 128 caratteri

borgo italia · 2012-08-25T15:22:26+0200

ciao
se ti interessa vedere le codifiche quarda questo script che ho trovato e lerggermente riadattato

PHP:

<?php
$password = "abracadabra";
echo "la parola è $password<br>";
echo "<table>";
echo "<tr><td>tipo codifica&nbsp;</td><td>&nbsp;lunghezza&nbsp;</td><td>&nbsp;parola codificata</td></tr>";
foreach (hash_algos() as $valore) {
        $codificata = hash($valore, $password, false);
        echo "<tr><td>$valore</td><td>". strlen($codificata)."</td><td>$codificata</td></tr>";
}
echo "</table>";
?>

Malware · 2012-08-25T16:55:52+0200

Ciao e grazie
Sto assemblando un po' di informazioni.

Come sembra questo script?
Ho giocato con sha1, sha512 e salt.

PHP:

$username=$_POST['usermame']; //username inserito
$inserita=$_POST['password']; //password inserita

$salt=mktime();
$salt=md5($username.sha1($salt));

$password = sha1($salt.sha1($salt.sha1($inserita)));
$password = hash('sha512',$password, false);

Salvo $salt e $password nel database.

Nel login faccio queste operazioni:

PHP:

$username=$_POST['username']; //recupero username inserito
$password=$_POST['password']; //recupero username inserito

$salt=$blablabla[0]; //recupero salt dal db
$passdb=$blablabla[0]; //recupero pass dal db

$password = sha1($salt.sha1($salt.sha1($password)));
$password = hash('sha512',$password, false);

if ($password == $passdb) {
     echo 'ok';
}else{
     echo 'nah';
}

Ora dovrebbe essere abbastanza sicuro.............................................................SE non viene inserita come password 1234567890

Ma per questa possibilità implementerò uno script per bloccare i tentativi...tipo 5 ogni 15 minuti

borgo italia · 2012-08-25T17:14:09+0200

ciao
mi sembra di abbastanza complesso come decriptazione, come già detto e anche tu il propbelama è la pass 123456. per quello la decido io (mi sono fatto una funzionicine per generarle), l'utente sa la scrive e se se la dimentica/perde si riiscrive

Sicurezza delle sessioni

borgo italia

Super Moderatore

Malware

Utente Attivo

borgo italia

Super Moderatore

borgo italia

Super Moderatore

Malware

Utente Attivo

borgo italia

Super Moderatore

Discussioni simili

Sicurezza delle sessioni

borgo italia

Super Moderatore

Malware

Utente Attivo

borgo italia

Super Moderatore

borgo italia

Super Moderatore

Malware

Utente Attivo

borgo italia

Super Moderatore

Discussioni simili

Privacy & Transparency

Privacy & Transparency