Ciao Andrea, ciao ML e buon anno... On Dec 31, 2010, at 10:24 AM, Andrea Dainese wrote:
> 2010/12/29 Paolo Giardini <[email protected]>: >> ...con username, password e codice fiscale in chiaro nell'url... >> >> https://www.passaportonline.poliziadistato.it/LogInAction.do?username=pippo&password=passpippo&codiceFiscale=wwewer56p45w456o&codop=logUtente > > Ricordo questo thread http://www.sikurezza.org/ml/06_10/msg00004.html Addirittura citato? Ellappeppa, grazie :-) > nel quale alla fine si era detto OK a GET+SSL. Personalmente eviterei > GET, non fosse altro perchè di default è scritto in chiaro nei log del > webserver e nella cache del browser. Laddove possibile, per applicazioni d'uso generale, io suggerirei di appoggiarmi ad openid per la gestione delle credenziali. Ormai tra gmail, facebook, wordpress i provider openid stanno diventando tanti e sono nomi importanti spesso con bei gruppi di sicurezza alle spalle... laddove possibile demandare a loro la gestione di password & co potrebbe essere un buon deal. Laddove non possibile, sì Andrea ha ragione... secondo me POST su canale cifrato è un buon punto di partenza. > La mia domanda è: Java/Javascript a parte, esiste una possibilità Non di solo J2EE vive lo sviluppatore di web application ma di Ruby, PHP e tanti altri framework evoluti :-) > concreta e sicura di creare un hash lato browser e verificarla lato > server? Che io sappia no, a meno di usare qualche plugin esterno, ma > non sono certo il più informato sul tema. Mmmmh non sono certo di aver colto cosa intendi qui con plugin. In Javascrip si può fare uno SHA256 (ad esempio http://www.bichlmeier.info/sha256.js) del testo, si può inviarlo in post via https e lato backend si può fare un match con gli hash memorizzati su db. Se rompono questo schema son bravi e vuol dire che tu hai un asset di valore :-) Il tutto con tanto IMHO. thesp0nge // che si deve iscrivere con l'indirizzo personale e non con quello di lavoro :-) -- Paolo Perego bitmama Via Ripamonti, 104 20141 Milano E-Mail [email protected] www.bitmama.eu bitmama, agenzia di comunicazione digitale nata dalla fusione tra Aware e Testawebedv, è una joint venture Reply-Armando Testa. -- The information transmitted is intended for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
