|
Forum
| Autore |
Password in chiaro dal Server Geolive al mio Browser. |
valengino46
Iscritto il:
08 Giugno 2023 alle ore 18:40
Messaggi:
44
Località
Tavullia (PS)
|
Buongiorno... apro questo 3D riguardo la sicurezza di GeoLive Ho notato, mio malgrado, che cambiando la mia password, il SERVER di GeoLive ha rimandato indietro in "chiaro" la mia nuova password al mio Browser. Questa è una procedura NON consigliata, e... poter vedere in "chiaro" la password rappresenta una minaccia informatica. ... Consiglio Jarod di usare la procedura piu' sicura da oggi in poi, ovvero di NON memorizzare la password su nessuna variabile e neppure "rimandarla" indietro sul browser. Solo "salvandola" sul DB come MD5 o algoritmi superiori.
|
|
|
|
|
|
|
| Autore |
Risposta |
gauss-boaga
Insegnante di religione in pensione.
Iscritto il:
08 Febbraio 2023 alle ore 22:04
Messaggi:
335
Località
Milano e/o SanMarino
|
"valengino46" ha scritto:
Buongiorno... apro questo 3D riguardo la sicurezza di GeoLive
Ho notato, mio malgrado, che cambiando la mia password, il
SERVER di GeoLive ha rimandato indietro in "chiaro" la mia
nuova password al mio Browser.
Questa è una procedura NON consigliata, e... poter vedere in
"chiaro" la password rappresenta una minaccia informatica.
...
Consiglio Jarod di usare la procedura piu' sicura da oggi in
poi, ovvero di NON memorizzare la password su nessuna
variabile e neppure "rimandarla" indietro sul browser.
Solo "salvandola" sul DB come MD5 o algoritmi superiori. Giusto, ma l'MD5 non è piu' considerato "sufficiente" contro i BRUTE FORCE che decodificano appunto questa crittografia. www.spaceclick.com/it/blog/come-calcolar... Meglio usare SHA-256
|
|
|
|
|
|
|
jarod
Antonino S. Cutri'
(FONDATORE)
Iscritto il:
10 Febbraio 2003
Messaggi:
541
Località
Gioia Tauro
|
"valengino46" ha scritto:
Buongiorno... apro questo 3D riguardo la sicurezza di GeoLive
Ho notato, mio malgrado, che cambiando la mia password, il
SERVER di GeoLive ha rimandato indietro in "chiaro" la mia
nuova password al mio Browser.
****
Mi dispiace contraddirla ma non è esatto, il "link" che arriva via email sembra "in chiaro", ma una volta cliccato lato server ho configurato le cose in maniera che qualunque link di tipo http venga rediretto sul corrispondente https, quindi in realtà quando atterra su Chrome / Edge / Etc... è già sotto https (basta verificare e si accorgerà che vedere prima dell'indirizzo il simbolo del lucchetto), quersto significa che OGNI comunicazione tra browser e server avviene su un canale cifrato dal certificato SSL installato per geolive.org. Detto questo, la password non è memorizzata in chiaro sul DB (come più volte ho detto in passato), ma è storicizzato invece solamente il suo valore di hash usando un algoritmo di Hashing sicuro sin dall'inizio. Per questo motivo non c'è mai stato un sistema di recupero password che consentisse di farsi arrivare via email la password precedente, perché semplicemente è un'informazione che noi non teniamo. La password passa dal browser a server il tempo necessario affinché lato server possa essere usata solo per ottenere l'hash e scartata. L'algoritmo di hashing usato non è ovviamente l'MD5 (ma non dirò quale, proprio per questioni di sicurezza), ringrazio ad ogni modo @gauss-boaga del consiglio, ma come può leggere era decisamente superfluo, anche se apprezzo l'interessamento 
|
|
|
|
|
|
|
gauss-boaga
Insegnante di religione in pensione.
Iscritto il:
08 Febbraio 2023 alle ore 22:04
Messaggi:
335
Località
Milano e/o SanMarino
|
"jarod" ha scritto: "valengino46" ha scritto:
Buongiorno... apro questo 3D riguardo la sicurezza di GeoLive
Ho notato, mio malgrado, che cambiando la mia password, il
SERVER di GeoLive ha rimandato indietro in "chiaro" la mia
nuova password al mio Browser.
****
Mi dispiace contraddirla ma non è esatto, il "link" che arriva via email sembra "in chiaro", ma una volta cliccato lato server ho configurato le cose in maniera che qualunque link di tipo http venga rediretto sul corrispondente https, quindi in realtà quando atterra su Chrome / Edge / Etc... è già sotto https (basta verificare e si accorgerà che vedere prima dell'indirizzo il simbolo del lucchetto), quersto significa che OGNI comunicazione tra browser e server avviene su un canale cifrato dal certificato SSL installato per geolive.org. Detto questo, la password non è memorizzata in chiaro sul DB (come più volte ho detto in passato), ma è storicizzato invece solamente il suo valore di hash usando un algoritmo di Hashing sicuro sin dall'inizio. Per questo motivo non c'è mai stato un sistema di recupero password che consentisse di farsi arrivare via email la password precedente, perché semplicemente è un'informazione che noi non teniamo. La password passa dal browser a server il tempo necessario affinché lato server possa essere usata solo per ottenere l'hash e scartata. L'algoritmo di hashing usato non è ovviamente l'MD5 (ma non dirò quale, proprio per questioni di sicurezza), ringrazio ad ogni modo @gauss-boaga del consiglio, ma come può leggere era decisamente superfluo, anche se apprezzo l'interessamento Caro Jarod, apprezzo moltissimo il tuo forum sia per l'impaginazione che per i contenuti. Lasciami però "insistere" su un particolare... la password che viene "tornata" dal Server al mio Browser in chiaro è quella che APPARE DOPO AVERLA SCELTA. VIENE IN CHIARO SUL BROWSER CON LA FRASE: La password è stata cambiata con successo! La tua nuova password e': **** E la password appare in Chiaro "QUI" sul mio browser. Fai una Prova!!! Se il mio Browser NON legge la nuova PSWRD dal Server... Da dove la legge? Magari sbaglio... Ma dove sbaglio (io me medesimo) ? G.B.
|
|
|
|
|
|
|
jarod
Antonino S. Cutri'
(FONDATORE)
Iscritto il:
10 Febbraio 2003
Messaggi:
541
Località
Gioia Tauro
|
"gauss-boaga" ha scritto:
****
E la password appare in Chiaro "QUI" sul mio browser. Fai una Prova!!!
Se il mio Browser NON legge la nuova PSWRD dal Server... Da dove la legge?
Magari sbaglio... Ma dove sbaglio (io me medesimo) ?
G.B. Da nessuna parte, cerco di rispiegarlo, nuovamente: 1) tu apri il link per reimpostare la password, scegli la nuova password e premi il pulsante 2) la password che hai scelto viene TRASMESSA cifrata (per via del certificato SSL) al server 3) Il server prende la password, calcola l'hash, MEMORIZZA l'hash su DB e te la ritorna indietro (sempre attraverso il canale cifrato grazie al certificato SSL) e te la ritorna indietro non perché la legge da qualche parte, ma semplicemente perché sei stato tu a mandargliela col punto 1. Da quel momento in poi il server non ce l 'ha più perché, come ho detto prima, NON LA SALVA. E per inciso graficamente Geolive è "vecchio" di 20 anni quasi, ma solo graficamente, non confondere la copertina col contenuto
|
|
|
|
|
|
|
gauss-boaga
Insegnante di religione in pensione.
Iscritto il:
08 Febbraio 2023 alle ore 22:04
Messaggi:
335
Località
Milano e/o SanMarino
|
Penso di aver capito, ma non esattamente tutto (sarà una banalità mia personale) perchè... "rimandare" indietro la password in chiaro al browser (fosse pure la stessa pagina PHP) con la frase: " La tua nuova password è: LaTuaPWDinChiaro " Ora... io mi fido del servizio che proponi, ma nessun sito web "ritorna" indietro la password ricordandola all'utente. L'utente se la è già trascritta nella fase di scelta della nuova password. G.B. ...
|
|
|
|
|
|
|
jarod
Antonino S. Cutri'
(FONDATORE)
Iscritto il:
10 Febbraio 2003
Messaggi:
541
Località
Gioia Tauro
|
"gauss-boaga" ha scritto:
Penso di aver capito, ma non esattamente tutto (sarà una banalità mia personale) perchè... "rimandare" indietro la password in chiaro al browser (fosse pure la stessa pagina PHP) con la frase:
....
E' stata una mia precisa scelta, perché così l'utente se vuole si fa un PDF o se la stampa e si tiene da parte la password, oppure perché così controlla che ha esattamente inserito la password che voleva mettere. E lo ripeto ancora una volta LA PASSWORD NON E' RIMANDATA IN CHIARO, il fatto che TU la veda in chiaro è solo perchè il browser te la fa vedere dopo che l'ha ricevuta sul canale sicuro, canale che è CIFRATO (a questo serve il protocollo https, la s finale sta proprio per "SECURE").
|
|
|
|
|
|
|
gauss-boaga
Insegnante di religione in pensione.
Iscritto il:
08 Febbraio 2023 alle ore 22:04
Messaggi:
335
Località
Milano e/o SanMarino
|
Ok... Ti sono grato per la lezione di Sicurezza Informatica. Ho cercato qualche articolo online e mi confermano quanto da te scritto. Ovvero che HTTPS garantisce la sicurezza della password e che l'unico modo di "leggerla" per un terzo (oltre a Browser e Server) è sbirciare il monitor, oppure lasciare la pagina aperta con la password in vista. Ringrazio per le gentili spiegazioni e per aver imparato una cosa nuova: NON SI NASCE IMPARATI !!! Buon proseguimento e Buona serata. G.B. ...
|
|
|
|
|
|
|
|
 Ultime guide:
Ricerca moderatori per il forum:
Nell'ottica di migliorare la qualità dei post e ridurre i "flame", cerchiamo volontari per moderare uno o più forum di GeoLIVE, se siete interessati consultate direttamente il seguente post:
Grazie
Convertitore da PDF a libretto DAT:
Servizio gratuito che abbiamo realizzato per estrarre il libretto presente nel PDF rilasciato da SISTER e salvarlo come semplice file DAT da importare direttamente su PREGEO.
SOLIDARIETA':
Visita il sito dell'AVIS (www.avis.it) per maggiori informazioni.
Il nostro visualizzatore delle mappe catastali:
Ultimi sondaggi
Amici:
Le nostre guide:
|
|
1
0
