www.MegaLab.it

[mciasco]

Salve,

è da un po' che sto cercando di creare un sistemino per inviare le password da client a server in modo criptato. Allora ho gurdato il codice del vostro sito e mi sembra che voi facciate così:

- c'è una form in cui inserire login e password
- c'è un pulsante per fare submit
- con la submit inviate i dati della form ad un altro vostro script

ma i dati inviati però sono in chiaro!!! E se qualcuno intercetta i dati prima che questi arrivino al vostro server?? la mia password è fregata! o sbaglio?

Tra l'altro ho provato a modificare il vostro codice semplicemente cambiando lo script che comapre nella action della form per il login. In pratica faccio submit ad un mio script php in cui visualizzo i due input "Nome utente" e "Password" ed infatti questi mi arrivano in chiaro al mio script. Non sarebbe meglio fare in modo che questi arrivino cifrati magari con un bel DES?!??!

grazie.
Marco

[Zane]

Ciao, senza un appoggio SSL non è possibile fare quello che chiedi!

Magari potresti pensare ad una chiave simmetrica, se client e server sono sempre <font color="red"><font size="4">g</font id="size4"></font id="red">li stessi: cosa devi fare di preciso?

<font color="red"><font size="1">By Ices_Eyes spero fosse una svista [rotfl]</font id="size1"></font id="red">

[mciasco]

Infatti SSL sfrutta chiavi asimmetriche vero?
Beh in effetti avevo intuito che c'era qualche difficoltà...non che debba fare chissà cosa, volevo solo creare un paio di script che permettessero l'accesso ad un sito tramite una password sicura ossia cifrata. Certo avevo intenzione di usare una chiave privata anche perché ho notato che in PHP c'è un'implementazione di DES (crypt()). Solo che ho in effetti ho riscontrato questi due problemi:

- se faccio uno script lato server inevitabilmente poi questo deve creare una form e inviare i dati (password!!) di nuovo ad un altro script lato server ma i dati saranno in chiaro (è il caso del vostro sito giusto?)

- potrei fare due script da far scaricare ad ogni utente che li utilizzerà come programma di logon sicura. In pratica il primo script crea la form e invia i dati al secondo in chiaro (ma stavolta tutto in locale!); il secondo script cifra la password con crypt() e invia tutto ad un terzo script lato server. Solo che ogni utente deve scaricarsi gli script e sopratutto dovrebbe essere in grado di eseguirli!!!!

Il discorso di usare una chiave simmetrica è ingestibile perché dovrei concordare personalmente una chiave segreta con ogni utente!!!

Quello che avevo pensato era di fare un mix:
- lo script lato server ha una form che al momento della submit richiama una funzione javascript (quindi eseguibili dal client) inserita nello stesso script che cifri la sua password e solo dopo invii tutto al server. Ma esiste la possibilità di cifrare qualcosa con javascript!??!?!?

grazie.
Marco

[Zane]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da mciasco</i>
<br />Infatti SSL sfrutta chiavi asimmetriche vero?<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Precisamente<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">
- se faccio uno script lato server inevitabilmente poi questo deve creare una form e inviare i dati (password!!) di nuovo ad un altro script lato server ma i dati saranno in chiaro (è il caso del vostro sito giusto?)<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Si: la transazione client-server è in chiaro: la password è solamente salvata crittata
<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">
- potrei fare due script da far scaricare ad ogni utente che li utilizzerà come programma di logon sicura. <hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Questa potrebbe essere una strada, ma tutto dipende quanti accessi hai: se è un sito privato, puoi sicuramente adottarlo, ad esempio utilizzando un approccio RSA a chiave pubblica, in cui ogni client si genera chiave pubblica & privata, e tu controlli solo che la richiesta di login sia "firmata": questo è, in linea di massima, proprio quello che fa SSL in automatico.
Purtroppo però è richiesta l'iterazione con l'utente, che deve generarsi le chiavi: se hai un sito pubblico la cosa è impraticabile..<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">
Il discorso di usare una chiave simmetrica è ingestibile perché dovrei concordare personalmente una chiave segreta con ogni utente!!!<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Inoltre la trasmissione della chiave dovrebbe essere obbligatoriamente in chiaro: ti proponevo questo approccio in caso fossi tu sysadmin dei client che devono accedere<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote">Ma esiste la possibilità di cifrare qualcosa con javascript!??!?!?<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">Questo proprio non lo so, ma anche così la cosa non sarebbe così semplice: dovresti generare una chiave al volo, la validazione sarebbe complessa da gestire...insomma, da parte mia ti consiglio o di adottare il supporto SSL (se ti è possibile) altrimenti la vedo decisamente impraticabile..

[mciasco]

Mmm, infatti credo che mi arrenderò...comunque l'idea del javascript cifrante l'avrei basata sulla crypt() di Unix che in pratica implementa una sorta di DES dove la chiave segreta è proprio la password dell'utente e il testo da cifrare è una stringa di 0 da 64bit. Non è proprio il massimo della sicurezza ma è meglio di niente. Il problema è implementare DES in javascript!!!!

grazie mille.
Marco