Jump to content
Sign in to follow this  
Uno

Autenticazione ed invio dati sicuri senza https

Recommended Posts

Ho letto un pò in giro qualche tempo fa, se le cose non sono cambiate tutti concordano che senza https l'autenticazione o l'invio dei dati può essere più o meno sicuro ma non perfetto per la sicurezza.

Io affermerò il contrario, cioè che è possibile lo stesso grado si sicurezza di ssl anche se debbo premettere che ci sono un paio di vincoli.

 

I vincoli sono l'utilizzo obbligatorio di javascript e nel caso di invio dati comuni è necessario inserire una password ad ogni invio (o usare un cookie, che rende il procedimento un pò meno sicuro in lan) .

 

La seconda evenienza è decisamente scomoda, se in un ecommerce costringiamo l'utente a scrivere la password su ogni pagina in cui invia dati perdiamo il cliente subito, però la prima tutto sommato non è così assurda, la password va inserita lo stesso.

 

In sostanza, basta utilizzare una libreria javascript per blowfish (o similari)

Se il server invia un salt criptato (che si decripta con la password+salt vari immessi in db) possiamo ogni volta che ci logghiamo inviare una password saltata (in padella :asd:) diversa, quindi anche se strada facendo ci sniffano la password saltata, quella password non può più essere riusata in nessun modo, neanche replicando la sessione. In sostanza diventa una one-time password anche se per l'utente la password è sempre la stessa.

 

Con lo stesso sistema non sarebbe un problema "blowshiffare" tutti i dati in entrata ed in uscita dal browser, solo che appunto o bisogna reinserire la password ad ogni cambio pagina oppure la password (in questo caso non quella di login, ma una di sessione creata random) dovrebbe essere memorizzata in un cookie via javascript

Questo secondo sistema non è perfetto al 100% ma è comunque più sicuro di un invio in chiaro.

Almeno in lan se si esce su un proxy non vedono i cavoli nostri, certo il sysadmin della rete potrebbe sempre leggerci il cookie direttamente sulla postazione, o qualcuno potrebbe crearci una trappola, ripeto non è scuro al 100%, ma rende un pò più privato lo scambio dati.

Con l'immissione passw ad ogni pagina (anche una corta apposita) il sistema diventa buono, direi equivalente ad un ssl.

 

Ho aperto il discorso (al volo, magari ho scritto qualche boiata in fretta, non rileggendo, errori di scrittura), spero che vi sia interessato un approccio un pò diverso (almeno non ne ho letto in giro), e che vogliate dire la vostra in merito.

 

P.s. mentre sto inviando mi viene in mente anche un'altra ipotesi, se usiamo ajax per inviare i dati ma manteniamo sempre una base di pagina fissa potremmo risolvere anche il problema di tenere in memoria la chiave di decriptazione dei dati senza doverla reinserire. Certo con un sito che vuole essere indicizzato si crea il problema della riscrittura degli url etc... insomma bisogna vedere se il gioco vale la candela, ma se la cosa si tiene solo su un backoffice il problema non sussiste.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×