DematVr Forum

Forum dedicato allo sviluppo del software Lampschool
Oggi è 15/10/2019, 6:59

Tutti gli orari sono UTC [ ora legale ]




Apri un nuovo argomento Rispondi all’argomento  [ 3 messaggi ] 
Autore Messaggio
 Oggetto del messaggio: Crittazione password non sicura
MessaggioInviato: 10/08/2014, 12:10 

Iscritto il: 10/08/2014, 11:57
Messaggi: 2
Salve a tutti,
ho sentito parlare molto di lampschool e gli ho dato un'occhiata. Dal codice che ho visto, le password sono crittate con l'algoritmo di hashing MD5, che è da evitare per la sicurezza (esepio: http://security.stackexchange.com/quest ... d-insecure )

Ciauz ;)


Top
 Profilo  
 
 Oggetto del messaggio: Re: Crittazione password non sicura
MessaggioInviato: 01/09/2014, 11:59 

Iscritto il: 01/09/2014, 11:54
Messaggi: 126
Qualche novità a riguardo??


Top
 Profilo  
 
 Oggetto del messaggio: Re: Crittazione password non sicura
MessaggioInviato: 15/09/2014, 16:29 

Iscritto il: 19/09/2013, 13:26
Messaggi: 1360
Località: San Giovanni Rotondo
Il punto "debole" del criptaggio delle password in md5 è la velocità con la quale tale criptaggio avviene. Questo potrebbe consentire di generare delle 'collisioni' attraverso un attacco brute force. Un'altro possibile motivo di "debolezza" può essere la presenza di dizionari di password con relativa codifica MD5.
Sia la prima che la seconda possibilità sono disinnescate dal fatto che in LAMPSchool avviene un doppio criptaggio della password (uno lato client ed uno lato server), al contrario di altri software che, pur avendo un sistema di criptaggio più efficiente, eseguono tale criptaggio solo lato server lasciando viaggiare la password in chiaro ed affidando quindi la sicurezza sulle intercettazioni solo all'uso dell'https.
Nonostante ciò, per evitare qualsivoglia possibilità, e per rendere sempre più sicuro l'uso del software, nella ver. 1.7 sarà implementato un nuovo sistema di criptaggio con utilizzo anche della tecnica del salt.
Tale aggiornamento (ripeto, forse superfluo, ma in fatto di sicurezza melius abundare quam deficere) è reso difficile proprio per il doppio criptaggio che impedisce al software di avere disponibile lato server la password originale dell'utente per poterla ricriptare. Stiamo lavorando alla soluzione cercando di rendere il più possibile trasparente la cosa agli utenti.

I maggiori rischi per la sicurezza restano comunque le disattenzioni e la superficialità degli utenti che usano password banali, le inseriscono in modo disinvolto e le scrivono sulla prima pagina della loro agenda. :roll:

_________________
Pietro


Top
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Rispondi all’argomento  [ 3 messaggi ] 

Tutti gli orari sono UTC [ ora legale ]


Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi inviare allegati

Vai a:  
cron
Powered by phpBB® Forum Software © phpBB Group
Traduzione Italiana phpBBItalia.net basata su phpBB.it 2010