Login e Sicurezza

[bugfree]

ciao a tutti,
mi sono accorto che i dati inseriti nella pagina di login sono trasmessi in chiaro all'applicazione

Code: Select all

POST /PWeb/PWeb.aspx HTTP/1.1
...
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: localhost:1308
Content-Length: 68
Connection: Keep-Alive
Cache-Control: no-cache

WCI=IWLogin&WCE=Form1&WCU=&UserName=1&PassWord=1&I1.x=51&I1.y=11

è possibile (con una configurazione di Inde) renderli "sicuri" (ovviamente potrei usare SSL, come estrema ratio)?

grazie in anticipo
stefano

[g.lanzi]

Cosa intendi con renderli sicuri?

Il form di login è una pagina HTML. Anche se criptassi la password prima di mandarla (e bisognerebbe pensare a come fare) ci sarebbe comunque un'applicazione che una volta ricevuta la password criptata entra, quindi una password criptata ma inviata su protocollo http è forte come quella non criptata. Un attacco MIM sarebbe sempre una potenziale minaccia, anche se c'è da dire che non è banale essere oggetto di questo tipo di offensiva.

Per rendere sicura la connessione è necessario che solamente gli endpoint siano in grado ci conoscere il contenuto del messaggio. Utilizzando ssl il contenuto viene criptato secondo un algoritmo e una chiave decisi nella fase di handshaking, è per questo che nessun altro è in grado di conoscere il contenuto della comunicazione.

Diversi nostri clienti lo usano e tutto funziona senza problemi, e sinceramente consiglio di passare a ssl se hai bisogno di una particolare sicurezza. Senza una connessione criptata è sempre possibile replicare un accesso una volta che si è potuto registrarne uno.

Forse di potrebbe fare qualcosa utilizzando l'ID di sessione e lavorandoci sopra, ma non è una strada che intraprenderei.

Avevi in mente qualcosa di particolare?

In ogni caso, allo stato attuale non è disponibile una configurazione che imposta un livello di sicurezza maggiore.

[bugfree]

ciao
La password in chiaro si legge con un qualsiasi sniffer ed è un grosso problema a mio avviso.
Un attacco MIM come fai notare è sicuramente più "difficile" da attuare.
Per alcune applicazioni ho utilizzato un sistema di one time password (OTP) con reservation inviate dal server alla pagina di login e utilizzate da codice js in quest'ultima in combinazione con la password inserita dall'utente per ottenere un hash (avevo usato MD5, che però non è una buona scelta visto che si inverte ormai) da trasmettere in rete insieme all'OTP.
L'utilizzo di una OTP "garantisce" che l'hash è ogni volta differente, vanificando l'uso di uno sniffer.

sicuramente SSL è più facile:)

[g.lanzi]

Forse ho fatto un'assunzione errata. Ho considerato che il client accedesse al server tramite internet, e che la protezione si volesse attuare a questo livello. Non sono un esperto, ma per quanto ne so su una WAN per sniffare qualcosa è necessaria una tecnica MIM.

L'uso dell'OTP che citi è più sicuro, perché per entrare è necessario sniffare il pacchetto, invertire MD5 e applicare l'algoritmo a rovescio per ottenere la password digitata dall'utente. A questo punto con la conoscenza del codice javascript contenuto nella pagina di login è possibile ripetere un accesso.
Lo sniffer in sé è un problema perché permette di conoscere i dati trasmessi. Se conosci quelli e se hai il codice che eventualmente mescola otp e userpwd puoi entrare. In effetti pensavo a qualcosa del genere quando citavo l'ID della password.

Personalmente consiglio SSL, è più veloce e semplice da implementare e anche più sicuro.

Anche se riuscissi a mettere uno sniffer che legge tutto, nessuno saprebbe decifrare i dati se non in possesso della chiave giusta.