Comments on: SSL assente? No problem… usa CHAP login system http://www.redsend.org/2007/06/26/ssl-assente-no-problem-usa-chap-login-system/ Poche parole che descrivono questo blog.... (ci sto pensando) Fri, 05 Sep 2008 14:19:13 +0000 http://wordpress.org/?v=2.6.1 By: RedSend http://www.redsend.org/2007/06/26/ssl-assente-no-problem-usa-chap-login-system/#comment-389 RedSend Mon, 27 Aug 2007 08:21:01 +0000 http://www.redsend.org/?p=147#comment-389 si miky hai ragione, non basta inviare solo la stringa cifrata, ma serve anche il nome utente (ho corretto il post). Potrebbe essere comunque una soluzione non inviare neanche il nome utente sul canale, nel caso di pochi utenti, far calcolare al server tutti gli hash per ogni utente, verificare se uno coincide e di conseguenza dare l'autenticazione a quell'utente. Oltre a problemi di performance questa soluzione potrebbe portare anche altri problemi di sicurezza, che al momento non mi vengono in mente perchè ho ancora la faccia piena di sonno ma la cosa mi puzza. si miky hai ragione, non basta inviare solo la stringa cifrata, ma serve anche il nome utente (ho corretto il post). Potrebbe essere comunque una soluzione non inviare neanche il nome utente sul canale, nel caso di pochi utenti, far calcolare al server tutti gli hash per ogni utente, verificare se uno coincide e di conseguenza dare l’autenticazione a quell’utente. Oltre a problemi di performance questa soluzione potrebbe portare anche altri problemi di sicurezza, che al momento non mi vengono in mente perchè ho ancora la faccia piena di sonno ma la cosa mi puzza.

]]> By: Musikele http://www.redsend.org/2007/06/26/ssl-assente-no-problem-usa-chap-login-system/#comment-386 Musikele Mon, 27 Aug 2007 01:06:54 +0000 http://www.redsend.org/?p=147#comment-386 Ciao Red, ci sono alcune considerazioni sia tecniche sia principiantistiche che devo fare. In primo luogo, mi chiedevo come sia possibile fare una reale "autenticazione" mandando solo una stringa. Se il sito ha un solo utente, va bene; il server calcolerà l'hash e se combaciano va tutto ok. Ma se ci sono più utenti, come fai a sapere che quell'hash è specifico di un utente? Se l'hash, che per definizione non è invertibile, viene ricevuto dal server come "utente+password+numeretto" che ne sa il server a chi è associato? Più volte citi nell'articolo che l'unica informazione che viaggia sul canale è il numeretto criptato, e se ci colleghiamo io rapha e te a redsend.org ... come va a finire? Il server si mette a calcolare tutti gli hash possibili per me rapha e te e poi controlla a chi è uguale? sembra una cavolata tremenda. Per questo ipotizzo che vengano inviate 2 informazioni: nome utente, e poi la stringa che contiene password e numeretto criptato, o giù di lì. Scusami se sembro banale ma ho avuto la pazienza di leggermi tutto e questo piccolo dettaglio non risulta evidente. Inoltre a SR ho preso 20 per miracolo quindi ammetto di non saperne molto. Delucidaci! Musikhell Ciao Red,
ci sono alcune considerazioni sia tecniche sia principiantistiche che devo fare.
In primo luogo, mi chiedevo come sia possibile fare una reale “autenticazione” mandando solo una stringa. Se il sito ha un solo utente, va bene; il server calcolerà l’hash e se combaciano va tutto ok.
Ma se ci sono più utenti, come fai a sapere che quell’hash è specifico di un utente? Se l’hash, che per definizione non è invertibile, viene ricevuto dal server come “utente+password+numeretto” che ne sa il server a chi è associato? Più volte citi nell’articolo che l’unica informazione che viaggia sul canale è il numeretto criptato, e se ci colleghiamo io rapha e te a redsend.org … come va a finire? Il server si mette a calcolare tutti gli hash possibili per me rapha e te e poi controlla a chi è uguale? sembra una cavolata tremenda. Per questo ipotizzo che vengano inviate 2 informazioni: nome utente, e poi la stringa che contiene password e numeretto criptato, o giù di lì.
Scusami se sembro banale ma ho avuto la pazienza di leggermi tutto e questo piccolo dettaglio non risulta evidente. Inoltre a SR ho preso 20 per miracolo quindi ammetto di non saperne molto. Delucidaci!

Musikhell

]]> By: RedSend » Blog Archive » SSL assente? No problem... usa CHAP Secure Login plugin http://www.redsend.org/2007/06/26/ssl-assente-no-problem-usa-chap-login-system/#comment-383 RedSend » Blog Archive » SSL assente? No problem... usa CHAP Secure Login plugin Sat, 25 Aug 2007 08:23:13 +0000 http://www.redsend.org/?p=147#comment-383 [...] tempo fà in questo post “SSL assente? No problem… usa CHAP login system” spiegai a grandi linee il funzionamento del protocollo CHAP per ottenere un login sicuro e non [...] [...] tempo fà in questo post “SSL assente? No problem… usa CHAP login system” spiegai a grandi linee il funzionamento del protocollo CHAP per ottenere un login sicuro e non [...]

]]>