[Linuxtrent] Re: Riflessione su bug openssl e open source

From: Guido Brugnara <gdo@xxxxxxxxx>
To: linuxtrent@xxxxxxxxxxxxx
Date: Sun, 13 Apr 2014 07:35:31 +0200

Il 12/04/2014 21:23, Roberto Resoli ha scritto:

On 12 aprile 2014 14:30:05 CEST, Guido Brugnara <gdo@xxxxxxxxx>

...

E' comunque possibile non trasmettere la password in chiaro, nemmeno
via
SSL, facendo generare una hash nel client (usando javascript)

Questo non migliora in nessun modo la sicurezza :

https://crackstation.net/hashing-security.htm

"
...........

The problem is that the client-side hash logically becomes the user's password. 
All the user needs to do to authenticate is tell the server the hash of their 
password. If a bad guy got a user's hash they could use it to authenticate to 
the server, without knowing the user's password!
"

In questo caso la chiave di accesso (la hash della password) vale soloper quel sito. Sempre meglio che una password in chiaro considerata laprassi sempre più praticata di utilizzare metodi di Single sign-on.

tale da
avere una validità temporale limitata.

qui non ho capito cosa intendi

Se il "ragazzo cattivo" copia la hash potrà utilizzarla soltanto per unperiodo limitato rispetto a quando è stata generata.


Ad esempio:

1) L'utente richiede di autenticarsi al server

2) Il server invia la pagina di autenticazione (oppure il client mostrail form di autenticazione)3) L'utente inserisce la password di autenticazione che viene subitoconvertita in hash

4) Il client richiede al server un token fornendo il nome dell'utente

5) Il server genera il token che associa all'utente segnando l'orario digenerazione e la invia al client6) Il client compone la hash della password con il token del server einvia una hash dell'insieme al server7) Il server controlla che non sia passato troppo tempo dalla richiestaprecedente (pochi secondi su reti veramente lente), compone la hash diconfronto con la hash del database e il token, come ha fatto il client,e verifica l'uguaglianza.

LImitando la validità temporale a pochissimi secondi (su reti velocianche di frazioni di secondo) credo sia sempre meglio che una hashvalida per quel sito fino a quando l'utente decidesse di cambiarla.

Il discorso vale ovviamente solo se il "ragazzo cattivo" è a metà stradae non sta osservando direttamente il PC dell'utente o il server ;-)


bye
gdo

--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Follow-Ups:
- [Linuxtrent] Re: Riflessione su bug openssl e open source
  - From: Roberto Resoli

References:
- [Linuxtrent] Riflessione su bug openssl e open source
  - From: Maurizio Napolitano
- [Linuxtrent] Re: Riflessione su bug openssl e open source
  - From: Roberto Resoli
- [Linuxtrent] Re: Riflessione su bug openssl e open source
  - From: Roberto Resoli
- [Linuxtrent] Re: Riflessione su bug openssl e open source
  - From: Guido Brugnara
- [Linuxtrent] Re: Riflessione su bug openssl e open source
  - From: Roberto Resoli

[Linuxtrent] Re: Riflessione su bug openssl e open source

Other related posts: