On 06/04/10 14:57, Alessandro Romani wrote: > approcio si basa sul postulato "Se rendi sicura, per quanto sicura sia una > parola abbastanza priva di significato, un'applicazione su protocollo HTTP > allora l'SSL aggiunge un grado di sicurezza UNO alla tua giĆ raggiunta > sicurezza".
Siccome "sicura" non ha nessun significato, e siccome la sicurezza non e' una variabile metrica, no, questo ragionamento non ha senso. Nei casi che stai costruendo, l'aggressore ha accesso ai log del webserver, e tu sei COSTRETTO a mandare la password via POST. Se questo e' il tuo modello di minaccia, allora mandare una challenge e ottenere all'indietro l'hash di (una challenge + l'hash salted della password dell'utente) calcolato con un javascript lato client ha senso (perche l'hash di (challenge + l'hash della password)? Perche' senno' devi tenerti le password in chiaro lato server, che e' una cosa ben piu' pericolosa di quella che stai risolvendo). Siccome mi pare che questo modello di minaccia sia sostanzialmente inesistente (dato che passare a POST + SSL risolve il problema da te posto), continuo a ritenere la soluzione in attesa di un problema. E si', certo, se l'utente viola la sicurezza di SSL per ignoranza, il tuo meccanismo protegge la password. Ovviamente a quel punto l'aggressore puo' fare tutte le transazioni che vuole facendo hijacking della connessione, puo' cambiargli la password in qualcosa di noto a lui, puo' sniffare tutto il traffico, fargli apparire un popup finto di rinnovo della password, mandargli una finestra di login fittizia senza il javascript lato client... Pero' si', sicuramente il tuo sistema e' uno strato in piu'. Peccato che la sicurezza non si calcoli a strati come le maglie di lana. Si calcola sulla riduzione del RISCHIO, che e' basato sul prodotto di vulnerabilita' e minacce. Ridurre una vulnerabilita' riduce sempre il rischio, ma se la minaccia che insiste su quella vulnerabilita' e' un infinitesimo di minacce piu' grandi, e' un sacco di lavoro buttato al vento. Piu' chiaro ora? -- Cordiali saluti, Stefano Zanero Politecnico di Milano - Dip. Elettronica e Informazione Via Ponzio, 34/5 I-20133 Milano - ITALY Tel. +39 02 2399-4017 Fax. +39 02 2399-3411 E-mail: [email protected] Web: http://home.dei.polimi.it/zanero/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
