sicurezza pagine ASP con password

[karloss]

ho implementato delle pagine asp sul mio sito, il cui accesso è autorizzato solo in caso si immetta un certa user e pass.
Ebbene questa user e pass è presente nel codice asp della pagina stessa:

...
<%
if user="tizio" and pass="01011975" then
' accedi alla pagina
else
response.redirect a pagina di errore
end if
%>
...

Vi pare una cosa sicura ?

[matpez]

Si abbastanza, diciamo che il sorgente non si può prendere dal server in maniera cosi facile, anche se tu usassi una programma che scarica e gli dai una pagina ASP lui prima di dartela la compila e poi te la passa, per cui arriva in html!!

Se uno fosse in grado di farlo niente lo fermerbbe, anche se tu memorizzi le psw dentro ad un database una volta scaricata la pagine avrebbe a disposizione la path del db facilitando il compito!

Diciamo che dipende anche dalla sicurezza del server che ospita, se è poco sicuro le informazioni passate sono al quanto a rischio!

[karloss]

Quote:

Originariamente inviato da matpez

Diciamo che dipende anche dalla sicurezza del server che ospita, se è poco sicuro le informazioni passate sono al quanto a rischio!

passate in che senso ? quando via browser digito pass e user queste informazioni viaggiano sulla rete e sono intercettabili. Giusto ? Allora una nuova domanda quanto è facile intercettare queste informazioni ?

[cionci]

Quote:

Originariamente inviato da karloss
passate in che senso ? quando via browser digito pass e user queste informazioni viaggiano sulla rete e sono intercettabili. Giusto ? Allora una nuova domanda quanto è facile intercettare queste informazioni ?

Le può intercettare solamente un computer che si trova nel tratto di rete attraversato da queste informazioni...

[karloss]

Quote:

Originariamente inviato da cionci
Le può intercettare solamente un computer che si trova nel tratto di rete attraversato da queste informazioni...

non un computer qualsiasi (di un utente) ma un 'nodo' internet, giusto ? da chi sono gestiti ?

[cionci]

Quote:

Originariamente inviato da karloss
non un computer qualsiasi (di un utente) ma un 'nodo' internet, giusto ? da chi sono gestiti ?

O anche un computer qualsiasi che sta su un 'nodo' (come lo chiami tu)... Ovunque passino le informazioni che hai spedito per arrivare a destinazione...
Possono essere gestiti da chiunque...stato, esercito, piccole e grandi aziende, università, anche un privato...

[matpez]

Esattamente era quello che intendevo, non è facile ma chi lo sa fare e con i programmi giusti...gli "sniffer" sono programmi che intercettano tutte le comunicazioni che passano dalle porte di un server, per cui cmq è proprio una persona che vuole te a quell'ip e quel server....

Detto tutto e forse anche troppo

[karloss]

mettre queste pagine su un server SSL cambia qualcosa ? o alla fine il problema principale rimane il viaggio del mio input (user e pass) dal mio computer al server con la mia pagina ?

[cionci]

Rimane, ma è criptato !!! Quindi virtualmente non così facile da intercettare...

[karloss]

Quote:

Originariamente inviato da cionci
Rimane, ma è criptato !!! Quindi virtualmente non così facile da intercettare...

il mio browser cripta i dati prima di inviarli sulla rete ???
perche' quando immetto user e pass dal mio PC è da qui che partono!

[cionci]

Su una connessione SSL sì...è fatta proprio per quello !!!

[karloss]

Quote:

Originariamente inviato da cionci
Su una connessione SSL sì...è fatta proprio per quello !!!

scusa se insisto, ma io non devo fare nulla nel mio codice ? basta che richiedo l'SSL al mio provider, poi ci metto le pagine e tutti i dati viaggiano avanti e indietro criptati ?

[cionci]

Sì...

[matpez]

Quote:

Originariamente inviato da karloss
scusa se insisto, ma io non devo fare nulla nel mio codice ? basta che richiedo l'SSL al mio provider, poi ci metto le pagine e tutti i dati viaggiano avanti e indietro criptati ?

Ma posso chiederti cosa ti serve SSL, di solito questo metodo si utilizza quando passano informazioni di carte di credito o dati molto importanti!

[karloss]

Quote:

Originariamente inviato da matpez
Ma posso chiederti cosa ti serve SSL, di solito questo metodo si utilizza quando passano informazioni di carte di credito o dati molto importanti!

vorrei implementare la gestione degli ordini di un sito di e-commerce on-line, creare quindi un database ordini, ed attingere e modificare quest'ultimo per evadere gli ordini tenere traccia delle spedizioni e fare le fatture, ecc.

[cionci]

Magari puoi usare SSL solo per la procedura di login... Usarlo epr uttto il sito non importa...inoltre dopo hai le sessioni che sono potenzialmente sicure...

[karloss]

Quote:

Originariamente inviato da cionci
Magari puoi usare SSL solo per la procedura di login... Usarlo epr uttto il sito non importa...inoltre dopo hai le sessioni che sono potenzialmente sicure...

una volta loggato attribuisco ad una variabile di sessione un valore che significa: sono IO e non un pirata e le altre pagine sebbene nn piu' su SSL controllano all'inizio questa variabile... e in caso negativo Response.redirect su pagina di errore !

ma nn c'e' modo x il 'bucaniere' di impostare lui la variabile di sessione ??? scovando tra l'altro quale sia il valore richiesto ? oppure inibire il Response.redirect ??

[matpez]

Quote:

Originariamente inviato da karloss
ma nn c'e' modo x il 'bucaniere' di impostare lui la variabile di sessione ??? scovando tra l'altro quale sia il valore richiesto ? oppure inibire il Response.redirect ??

No, perchè quando cambi dominio anche il nome di una stessa variabile di session viene resettata oppure meglio diaciamo che punta da un'altra parte!!

Ho fatto una prova mettendo un locale una pagina che scrive la session e sul server ftp una pagine che legge la variabile, risultato....variabile vuota!!

Se invece fai la stessa cosa su un dominio solo e chiami la stessa varibile + volte lui sovrascrive sempre il tutto.

Diciamo che la session è fatta in questa maniera anche se non si vede: Session("Dominio")("NomeSession")

[matpez]

Ah dimenticavo che le varibili di Sessione sono solo sul server e non vengono mandati e spediti dal tuo Browser, ma solo lette se mandate ma nn sono mai scritte, cioè se tu in un linguaggio dinamico per web vuoi impostare una session nn è che premendo il bottone si imposta ma al massimo devi refreshare la pagina o addirittura andare su una pagina nuova.

Gli unici modi per potere scrivere una variabile session non voluta sono questi:

1· Accesso FTP e possibilità di uppare una pagina worm che utilizza per leggere e scrivere le varibili!!

2· Premetto che forse ci sono 100 persone al mondo in grado di farlo ma nn vengono a rompoere le palle a te perchè puntano + in alto: Bucare i firewall del server, connettersi con un programma ad una falla del sistema operativo (Vedi per esempio il Blaster Worm) e andare a leggere le variabili allocate nella RAM del server....forse un po' da cinema come pensata, ma cmq qlc è capace a farlo, diciamo che se però lo fa questo qlc starà ancora poco in circolazione!

[cionci]

Quote:

Originariamente inviato da matpez
Ah dimenticavo che le varibili di Sessione sono solo sul server e non vengono mandati e spediti dal tuo Browser, ma solo lette se mandate ma nn sono mai scritte,

Infatti... L'unica cosa che passa dal browser verso il server sono i dati passati tramite POST e GET... Diversamente dai cookies, le variabili di sessione non vengono inviate al server per ogni pagina visualizzata... L'unica cosa inviata dal client verso il server è il sessionid che viene inviato tramite cookie o tramite get...che io sappia il sessionid dovrebbe codificare in qualche modo anche l'indirizzo ip sorgente... In questo modo se l'indirizzo ip sorgente della richiesta non corrisponde all'indirizzo ip codificato nel sessionid allora la richiesta non è valida...
Quindi:
- il sessionid è univoco
- il sessionid non può essere spoofato
- le variabili di sessione risiedono sul server