Login ricordante postato il 03/04/2009 10:45:04 nel forum programmazione, gdrcd, open source, hosting e modificato da blancks il 03/04/2009 11:01:48
Si è discusso di come rendere un login sicuro a tecniche di sniffing, ora il mio quesito è quello di fare un modulo ricordante sicuro.
Personalmente avevo pensato una cosa del genere:
- All'atto della registrazione mi viene creato l'utente con la pass criptata in sha1 e una stringa alfanumerica random unica solo per lui.
- Quando fa il login e spunta il ricordante io salvo nel cookie le seguenti informazioni:
id | hash( sha1(pass) + stringa random unica per pg)
- Quando l'utente torna sul sito, faccio la ricerca per id, prelevo pass e stringa random dal db, ricompongo l'hash e confronto con quello nel cookie, se corretto procedo con l'autenticazione.
Ora, in termini di sicurezza, ritenete possa essere sicura una cosa del genere oppure avete suggerimenti ?
Pagine → 1
03/04/2009 11:23:05
Io non manderei mai al client la password anche se criptata ...
Io gestirei piuttosto un sistema di sessioni usa e getta ovvero
Una tabella su gd con i campi
id_utente
id_sessione
expire
dove:
id_utente è l'id del pg
id_sessione è una stringa alfanumerica casuale lunga 50-100 caratteri
expire è oggi + una settimana ad esempio
quando faccio login e spunto la casella di "memorizza login" creo un record sulla tabella ed un cookie contente id utente ed id sessione.
Quando ritorno sul login eseguo in sequenza:
- query che ripulisce la tab sessioni dai record scaduti
- se c'è un cookie lo cerco sulla tabella
- se trovo la corrispondenza aggiorno l'expire su db e faccio login diretto
- altrimenti cancello l'eventuale cookie scaduto/fasullo e mostro la normale schermata di login
Tsu
03/04/2009 11:41:45 e modificato da blancks il 03/04/2009 11:44:47
03/04/2009 11:48:39 e modificato da tsumi il 03/04/2009 11:57:50
No purtroppo non è equivalente
password random ed id sono fissi nel tempo (l'unica che potrebbe cambiare è la password, ma è altresì vero che la password non viene cambiata spessissimo ... non ogni settimana almeno).
Quindi non importa se mi è impossibile decifrare il tutto, anche averlo cifrato mi basta per loggarmi.
Mi basterebbe conoscere questa stringa e crearmi un cookie ad hoc per loggarmi.
Il mio sistema delle sessioni usa invece solo l'id come valore fisso (che peraltro non è manco segreto) + una stringa casuale e valida solo per un tempo limitato. Anche venisse rubata basta essere fuori dal tempo di expire perchè sia del tutto inutile
EDIT:
Se fai rigenerare la stringa ad ogni login ha già più senso. Però c'è un però ... se ti logghi da più pc finisci ogni volta per invalidare la sessione dell'altro rigenerando la stringa casuale. Avendo invece una tabella puoi avere più sessioni per più pc/browser indipendenti.
03/04/2009 15:38:35
03/04/2009 15:38:35 e modificato da blancks il 03/04/2009 15:39:19
03/04/2009 16:42:01
Discussione seguita da
Pagine → 1
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
lucyvanplayer ha risposto alla discussione: L'importanza di definire target, stile e offerta di gioco
yesiamhim ha recensito Apocalypse Requiem: Detroit
OGame → In OGame migliaia di giocatori da tutto il mondo competono tra di loro per conquistare l'intero universo!
I dati del generatore di rank sono stati aggiornati!
vinavil ha risposto alla discussione: Altri concetti di target: offerta di gioco e gameplay
anneth ha risposto alla discussione: Problema nella sezione Mercato GDRCD 5.5
percyval970 ha aperto una nuova discussione: Problema nella sezione Mercato GDRCD 5.5
Crossout → Tuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!
percyval970 ha aperto un annuncio di ricerca: New Grand Line Gdr ricerca Staffer
lilihel ha aperto una nuova discussione: Altri concetti di target: offerta di gioco e gameplay
Enlisted: Saldi di Capodanno 2025!
DarkOrbit: VIP Merchant Exchange 💥
Metin2 → Sfida i tuoi rivali a battersi con te e dimostra la tua superiorità in questo mondo fantasy!
Mathram: [On Game] Sette Cadaveri per Sette Orrori
Above Leggendra: Introduzione nuove chat asincrone
Games of Thrones Winter is Coming: Regalino per le festività! 🎁
Naruto x Boruto GDR → La nostra storia, inizia con te. Vivi il momento della resa dei conti, il tuo Paese ha bisogno di te!
Statistiche del Portale - Scopri le statistiche di GDR-online.com: Iscritti, generi preferiti, risorse ecc.!
Ansia e GdR - GdR Online per i timidi: Come superare l'Ansia Sociale Virtuale!
MMO - Perché gli MMO sono tra i generi di videogiochi più popolari in questo moment
Twilight Gdr - Con l'uscita del film New Moon.. intervista ai gestori di Twlight Gdr!
Gioco Sicuro AAMS - I casino sia online che tradizionali possiamo definirli sicuri? Scopriamolo!
L'Io e l'Avatar - L'Io e l'Avatar - Proiezione e archetipo nei giochi di ruolo online
.jpg)
DarkOrbit ↗
Entropia Universe ↗
World of Warship ↗
Storie di Agarthi ↗
