Sicurezza sui siti

[Stiwy.NET]

Ciao,
mi è stato chiesto di fare un sito in asp.net 2.0 e di modificarne un'altro in php. Non ho grossi ostacoli per quanto riguarda la sintassi o il metodo con cui sviluppare, ma mi è stato chiesto di farli molto "sicuri". So che è un argomento molto complesso e qualcosa so già, ma vorrei da voi dei consigli su come evitare di fare errori. Ad esempio so che nelle stringhe sql è meglio usare i parametri per evitare le sqlinjection. Mi è stato chiesto di cryptrare le password in md5 o sha e controllare che le password inserite rispettino alcuni parametri di affidabilità (minimo 5 caratteri, almeno 1 lettera e 1 numero e 1 carattere speciale).
Cos'altro potrei fare? Quali sono le ultime tecniche per stare un pò tranquilli?

[ianaz]

Aggiungerei di criptare le password già a livello client con sha1 (javascript)

edit: la sintassi é semplice:

Codice PHP:

<script language="JavaScript">
stringa = hex_sha1("stringa da criptare");
</script> 


[giannola]

Quote:

Originariamente inviato da Stiwy.NET

Ciao,
mi è stato chiesto di fare un sito in asp.net 2.0 e di modificarne un'altro in php. Non ho grossi ostacoli per quanto riguarda la sintassi o il metodo con cui sviluppare, ma mi è stato chiesto di farli molto "sicuri". So che è un argomento molto complesso e qualcosa so già, ma vorrei da voi dei consigli su come evitare di fare errori. Ad esempio so che nelle stringhe sql è meglio usare i parametri per evitare le sqlinjection. Mi è stato chiesto di cryptrare le password in md5 o sha e controllare che le password inserite rispettino alcuni parametri di affidabilità (minimo 5 caratteri, almeno 1 lettera e 1 numero e 1 carattere speciale).
Cos'altro potrei fare? Quali sono le ultime tecniche per stare un pò tranquilli?

nessuna.
non esiste e non esisterà mai un sito sicuro: è un problema non decidibile.
Questa è una delle cose che si imparano ad ingegneria.
L'unica cosa che puoi fare è usare le tecniche a tua disposizione e tenerti informato riguardo le falle nella sicurezza che vengono via via scoperte.

[Stiwy.NET]

Quote:

Originariamente inviato da giannola

nessuna.
non esiste e non esisterà mai un sito sicuro: è un problema non decidibile.
Questa è una delle cose che si imparano ad ingegneria.
L'unica cosa che puoi fare è usare le tecniche a tua disposizione e tenerti informato riguardo le falle nella sicurezza che vengono via via scoperte.

Se è questo che insegnano sono contento di essermi fermato alle superiori... dai per favore... lo sanno tutti che non è possibile fare un sito completamente sicuro, ma si possono adottare delle tecniche e degli accorgimenti per evitare falle più o meno grandi. Ad esempio l'utente php non ha diritto di scrittura nelle cartelle del sito, può solo eseguire il suo codice e basta. In quelle cartelle non è possibile avviare eseguibili etc...
La mia domanda è...
"oltre a dire session("livelloutente") = "admin" posso fare altri controlli?"

[cionci]

Quote:

Originariamente inviato da ianaz

Aggiungerei di criptare le password già a livello client con sha1 (javascript)

edit: la sintassi é semplice:

Codice PHP:

<script language="JavaScript">
stringa = hex_sha1("stringa da criptare");
</script> 


Guarda, mi lascia alquanto dubbioso una soluzione del genere...
Facendo lo sha1 della password hai lo stesso livello di sicurezza rispetto ad inviare la password in chiaro...

Semmai sarebbe un minimo più sicuro fare cleint side l'hash della password insieme ad un codice generato casualmente. Lo stesso hash lo metti nella sessione e così puoi fare il confronto fra l'hash server side e client side. E questo cofnronto ha validità solo per quella istanza della form.

[mad_hhatter]

Quote:

Originariamente inviato da cionci

Facendo lo sha1 della password hai lo stesso livello di sicurezza rispetto ad inviare la password in chiaro...

Perchè con sha1 è troppo facile trovare collisioni, perchè è reversibile, o cos'altro?

Quote:

Originariamente inviato da cionci

Semmai sarebbe un minimo più sicuro fare cleint side l'hash della password insieme ad un codice generato casualmente. Lo stesso hash lo metti nella sessione e così puoi fare il confronto fra l'hash server side e client side. E questo cofnronto ha validità solo per quella istanza della form.

e come ci si mette d'accordo sul codice ausiliario tra server e client?

scusa le domande, ma non ne so quasi niente di ste cose e vorrei iniziare a capirci qualcosina

[mad_hhatter]

Quote:

Originariamente inviato da mad_hhatter

e come ci si mette d'accordo sul codice ausiliario tra server e client?

scusa le domande, ma non ne so quasi niente di ste cose e vorrei iniziare a capirci qualcosina

per caso è il server che invia il codice al client? e se si, come, in chiaro?

[cionci]

Quote:

Originariamente inviato da mad_hhatter

per caso è il server che invia il codice al client? e se si, come, in chiaro?

Sì...in chiaro... Non è un metodo sicuro, ma se non altro "ascoltando" soltanto la l'invio della form non si è in grado di carpire alcuna informazione segreta...

[ianaz]

Quote:

Originariamente inviato da cionci

Guarda, mi lascia alquanto dubbioso una soluzione del genere...
Facendo lo sha1 della password hai lo stesso livello di sicurezza rispetto ad inviare la password in chiaro...

Semmai sarebbe un minimo più sicuro fare cleint side l'hash della password insieme ad un codice generato casualmente. Lo stesso hash lo metti nella sessione e così puoi fare il confronto fra l'hash server side e client side. E questo cofnronto ha validità solo per quella istanza della form.

Scusa, io ragionavo ad ajax inviando il form tramite quello

intendevo farlo lato client...
Ad esempio con una roba tipo

Codice PHP:

<script language="JavaScript">
function controlla(){
password = hex_sha1(document.getElementById('password').value);
// Invia tramite ajax la password
}
</script>

<input type="password" id="password" name="password">
<input type="button" onClick="controlla();"> 


[cionci]

Quote:

Originariamente inviato da mad_hhatter

Perchè con sha1 è troppo facile trovare collisioni, perchè è reversibile, o cos'altro?

Perchè se la mia password è "pippo" lo sha1 sarà af7f864e23123debca7...e di fatto ha la stessa segretezza della password...
Se io carpisco ascoltando l'invio della form quel af7f864e23123debca7 è come se avessi la password...infatti successivamente mi basterà inviare af7f864e23123debca7 e mi sarò autenticato come te

Con il codice condiviso fra client e server è più complicata la cosa perchè anche se l'avversario ha il codice (che è stato inviato in chiaro) comunque non ha la password perchè ce l'ha solo il client

[cionci]

Quote:

Originariamente inviato da ianaz

intendevo farlo lato client...
Ad esempio con una roba tipo

Come dicevo sopra non aggiunge alcuna sicurezza far passare il fingerprint al post della password in chiaro...perchè comunque riuscendo a prelevare il fingerprint posso autenticarmi lo stesso sul server inviando il fingerprint stesso...

[ianaz]

Non ci avevo pensato, verissimo...e come fanno ad esempio su meebo.com?

[cionci]

Boh...chi lo sa, bisogna mettersi ad analizzare il sito...inoltre lì c'è anche un altro elemento importante... Bisogna vedere come è fatto il protocollo dell'IM... Se l'IM vuole la password in chairo non posso usare i fingerprints...

[0rph3n]

Quote:

Originariamente inviato da Stiwy.NET

Se è questo che insegnano sono contento di essermi fermato alle superiori...

Quote:

Originariamente inviato da Stiwy.NET

La mia domanda è...
"oltre a dire session("livelloutente") = "admin" posso fare altri controlli?"

per quanto riguarda la trasmissione della password, senza scomodare l'SSL, non c'è molto da aggiungere a quello che ha detto cionci.
cambiando discorso invece,
come controlli i privilegi?
pagina per pagina?
hai una pagina che li controlla e poi reindirizza di conseguenza?
i link alle varie pagine li visualizzi sempre e comunque o li visualizzi solo quando un utente è abilitato?
magari questo può darti qualche spunto...
o magari no

'iao

[ianaz]

l'SSL cos'é esattamente?

edit: scusate, google migliore amico dell'uomo (SSL)

[0rph3n]

Quote:

Originariamente inviato da ianaz

l'SSL cos'é esattamente?

edit: scusate, google migliore amico dell'uomo (SSL)

SSL
HTTPS

[0rph3n]

XD sono più veloce di un fulmine a rispondere

[ianaz]

Quote:

Originariamente inviato da 0rph3n

SSL
HTTPS

Questo rallenta di molto la connessione però, vero?

[cionci]

L'ideale sarebbe non rendere l'autenticazione persistente (hai presente questo sito ?) tramite i cookie, ma se proprio lod evi fare...salva nei cookie un hash...potrebbe essere l'hash di qualcosa che te ti calcoli lato server... Ad esempio:

cookie = sha1("codice segreto".password.username.lastlogin)

In questo modo il cookie lo puoi cambiare ogni volta che crei una nuova sessione, in pratica ogni volta che al momento di validare l'utente lo trovi già in possesso del cookie... Ovviamente aggiorni anche il campo lastlogin...

Questa cosa ti permette di far cambiare ad ogni login il cookie di autenticazione... Non è il massimo, ma meglio di niente...
Senza contare che se un utente si trovasse non autenticato significa che qualcuno è entrato prima di lui con le sue credenziali (gli hanno fregato il cookie o semplicemente si è loggato da un altro PC o da un altro browser), quindi in teoria gli potresti proporre di cambiare la password invalidando automaticamente tutti gli altri cookie...

[giannola]

Quote:

Originariamente inviato da Stiwy.NET

Se è questo che insegnano sono contento di essermi fermato alle superiori... dai per favore... lo sanno tutti che non è possibile fare un sito completamente sicuro, ma si possono adottare delle tecniche e degli accorgimenti per evitare falle più o meno grandi. Ad esempio l'utente php non ha diritto di scrittura nelle cartelle del sito, può solo eseguire il suo codice e basta. In quelle cartelle non è possibile avviare eseguibili etc...
La mia domanda è...
"oltre a dire session("livelloutente") = "admin" posso fare altri controlli?"

forse hai male interpretato, ho detto che puoi fare un sito quanto più possibile scevro da falle (conosciute) e sicuro (rispetto ad hacker dilettanti), ma è inutile che ti scomodi troppo a cercare la "soluzione definitiva" perchè di qua a domani la tua soluzione potrebbe nascondere una falla.
In ogni caso puoi provare a criptare i dati creando un tuo personalissimo algoritmo e autenticare l'utente veribicando il + possibile la correttezza dei dati inseriti.
Per il resto a meno che tu non possa fare una scansione retinica ed un analisi del dna non c'è molto altro che tu possa fare, nemmeno memorizzare il codice mac della scheda di rete.

P.S. in ogni caso quando all'uni si affermano cose che per te sono empiricamente note si suffragano anche dalle dimostrazioni, ti consiglio di dare un occhiatina al concetto di insiemi ricorsivamente enumerabili e di insiemi ricorsivi, giusto per capire perchè non esisteranno mai programmi in grado di verificare la correttezza di se stessi e di altri programmi.