php e sicurezza

Vabbè, ma è tremendamente scomodo per l'utente rigenerare la password, entrare con quella e dopo reimpostarla.. eppoi si dovrebbe fidare dell'admin, che ci fà poi con la password di un utente quando può entrare come amministratore? ;)

Inoltre se riescono ad entrare nel db basta che sostituiscono la password "hashata" con un'altra quindi non è anche quello un granchè in sicurezza

Sbagli.
1° molte persone (anche se sconsigliato) usano la stessa password per più servizi (altri forum, mail, aree riservate, ecc), quindi immagina che casini.
2° se sostituisci la password hashata con una non hashata il controllo restituisce errore perchè lo script in questione si aspetta un hash di quella parola e non la stessa in chiaro. Cmq sia, anche in questo caso non ci sarebbero i casini citati nel punto 1.


Ciaooo!!!!!

1: Bè, non credo che mi metto ad usare le loro password per andare negli altri siti (che poi non so neanche quali sono), è una questione di fiducia (eppoi se io fossi un admin disonesto starei qui a chiedere sul perchè và per forza hashata?)

2: si ovviamente.. sostituisci la password hashata con un'altra password hashata.. di cui sai com'era in origine

3: già che ci sei mi dici come faccio a far scrivere al php nel caso non trovi una tabella che gli avevo fatto selezionare con il select ? (stò diventando matto)

1° tu no, ma stiamo parlando in generale!
2° idem
3° non ho capito nulla! Spiega meglio.


Ciaooo!!!!!

1: infatti con i cms di massa (php-nuke, phpbb, ecc ecc) l'hanno messa..

3: ehm.. scusa, l'ho formulata malissimo..

allora,

Codice PHP:

$numtipo = 1;

$locazione = "tipo" + $numtipo; //locazione è la cartella dentro il database

$result = mysql_query("SELECT nick FROM $locazione",$db)
or die("Tipo inesistente!!! Assicurati di aver inserito i dati corretti oppure registra un nuovo account <a href=index.php>qui</a>");


Può valere come controllo per l'esistenza della cartella? (oltre che per ricavare il dato "nick")

Cartella dentro il db???
Che vuole dire?????
Hai dei percorsi memorizzati nel db?
A cosa ti serve?
Cosa c'entra con il login utente?
Cos'è $numtipo???


Ciaoo!

TABELLA scusa... oggi non ci stò di testa!!!

uff, speravo fosse una cosa semplice... ho il mio db my_harryweb con dentro tabelle chiamate "tipo1", "tipo2" , "tipo3" ecc ecc
la variabile $numtipo viene fatta passare per post (ho messo $numtipo = 1 per semplicità... non mi interessa il valore per ora)

Adesso, in ogni tabella c'è il campo nick VARCHAR di 25 caratteri, io glielo faccio leggere con la query (che mi sembra corretta sintatticamente)

Se la query è errata può accadere solo perchè non trova la tabella "tipoX" OPPURE perchè non trova il campo nick. Siccome il campo nick c'è sempre in ogni tabella vuol dire che per forza non esiste la tabella giusto? Quindi nel "die" metto che non ha trovato la tabella...

dovrei essermi chiarito :)


EDIT: ah, una cosa, siccome devo richiamare solo un dato come faccio a metterlo in una variabile?

Ehm... per quanto ho capito... la risposta è sì.

EDIT: $var=mysql_result($result,0);


Ciaoo!!

Scuseate una cosa, tornando al discorso di prima.
Nel caso qualcuno perda la password nn è sufficiente che attraverso un link del sito si faccia arrivare una e-mail al proprio indirizzo(precedentemente inserito nell'iscrizione) che contenga tutti i dati(ma anche solo la password o quel che si vuole) dell'iscrizione?
O per caso questo su AV nn è possibile, cioè nn è possibile spedire mail attraverso script php(forse la risp c'è già in qualche altra discussione ora guardo ma scusate se faccio cmq la domanda)

[Ospite]

Scuseate una cosa, tornando al discorso di prima.
Nel caso qualcuno perda la password nn è sufficiente che attraverso un link del sito si faccia arrivare una e-mail al proprio indirizzo(precedentemente inserito nell'iscrizione) che contenga tutti i dati(ma anche solo la password o quel che si vuole) dell'iscrizione?
O per caso questo su AV nn è possibile, cioè nn è possibile spedire mail attraverso script php(forse la risp c'è già in qualche altra discussione ora guardo ma scusate se faccio cmq la domanda)

è possibile ma stanno parlando di un'altra cosa, e cioè della sicurezza del codice per registrarsi ecc..ma non su altervista, ne parlno in generale da programmatori e non da utenti.

ah allora mi sono un po' perso nella discussione

cmq la mia sol al prob delle password dimenticate mi pare ok no?

per il resto allora lascio agli altri io nn me ne intendo proprio tantissimo

Scuseate una cosa, tornando al discorso di prima.
Nel caso qualcuno perda la password nn è sufficiente che attraverso un link del sito si faccia arrivare una e-mail al proprio indirizzo(precedentemente inserito nell'iscrizione) che contenga tutti i dati(ma anche solo la password o quel che si vuole) dell'iscrizione?

Non è possibile, proprio perchè l'hash in md5 non permette di "decriptare" la stringa e quindi di ritornare la password in chiaro. Proprio per questo è il metodo più efficace per non far scoprire la password, nemmeno a chi ha accesso diretto al db.


Ciaooo!!!!

Trovato l'errore

Se ho intuito bene il mysql mi dava errore perchè mancava la "riga" da selezionare

Codice PHP:

$result = mysql_query("SELECT nick FROM $locazione WHERE 1",$db)


invece di

Codice PHP:

$result = mysql_query("SELECT nick FROM $locazione",$db)


E adesso funziona

Adesso avrei bisogno di un altro piccolo aiuto please

Come prima avevo detto ho delle tabelle tipo1, tipo2 ecc ecc.. però mene servono delle altre uguali. Siccome non posso usare più database ho risolto con i prefissi:

mod1_tipo1
mod1_tipo2
mod1_tipo3
...
mod2_tipo1
mod2_tipo2
mod2_tipo3

come ho detto dentro ad ogni tabella c'è il campo "nick", varchar di 25 caratteri. Mettendo che voglio cercare un nickname solo dentro al gruppo mod2 come posso fare?

[Ospite]

Non è possibile, proprio perchè l'hash in md5 non permette di "decriptare" la stringa e quindi di ritornare la password in chiaro. Proprio per questo è il metodo più efficace per non far scoprire la password, nemmeno a chi ha accesso diretto al db.


Ciaooo!!!!

cmq a questo punto se veramente md5 non fosse decriptabile in assoluto allora si potrebbe tranquillamente usare i file al posto del database. Secondo me se proprio non tieni nel database dati bancari e cose simili si può anche criptare non
a senso unico.

Più che altro viene usato dai cms (php-nuke, phpbb), siccome è di facile utilizzo e ampiamente usato potrebbe esserci qualche admin che legge le password e le usa in qualche altro sito (visto che spesso gli utenti usano password uguali in tutti i siti dove si iscrivono)

Allora? nessuno che mi dà una mano?

[Ospite]

vabé ma se no ti fidi degli ammnistratori allora...su internet non puo fare niente..infatti io + programmo meno faccio a dire il vero :)))

Più che altro viene usato dai cms (php-nuke, phpbb), siccome è di facile utilizzo e ampiamente usato potrebbe esserci qualche admin che legge le password e le usa in qualche altro sito (visto che spesso gli utenti usano password uguali in tutti i siti dove si iscrivono)

L'ho già letto da qualche parte...

1° molte persone (anche se sconsigliato) usano la stessa password per più servizi (altri forum, mail, aree riservate, ecc), quindi immagina che casini.

x farlimas: certo, si potrebbero benissimo usare file di testo; l'uso del db non è limitato a questo ;)


Ciaooo!!!!!!

Scritto originariamente da harryweb
Più che altro viene usato dai cms (php-nuke, phpbb), siccome è di facile utilizzo e ampiamente usato potrebbe esserci qualche admin che legge le password e le usa in qualche altro sito (visto che spesso gli utenti usano password uguali in tutti i siti dove si iscrivono)

L'ho già letto da qualche parte...

Scritto originariamente da debug
1° molte persone (anche se sconsigliato) usano la stessa password per più servizi (altri forum, mail, aree riservate, ecc), quindi immagina che casini.

LOL, non volevo micca rubarti la frase... era una citazione, se leggi 3 post sopra si vede che era un intervento tuo

debugghino mio!!!!! aiutami con questo script e dopo prometto che non ti rompo più

[Ospite]

ma io non ho capito cosa ti serve ancora, se metti + tabelle, cambi tabella quando fai il codice no? oppure non ci ho capito un acca

No, è che devo fare una ricerca di un determinato nick dentro le tabelle con prefisso mod1...

le tabelle non sono fisse e in numero definito, possono essere cancellate e modifcate da broswer

[express]

da un punto di vista legale, nel momento in cui tu fai inserire dei dati personali (e la password è uno di quelli) due sono le cose:
1) o fai si che l'utente acconsenta al trattamento dei dati personali (ed in questo caso devi avvertire che la sua password è in chiaro e può essere letta dall'amministratore)
2) oppure fai in modo da non poter leggere i dati sensibili dell'utente -> cripti la pwd
(per gli altri dati, visto che in generale serve di poterli leggere si ricade bene o male nel punto 1). Oltre a ciò criptare la pwd, come già detto, nè migliora la sicurezza.
md5 è sì one-way, ma con un po' di cavalli-calcolatore si riesce a forzare (conoscendo la chiave non ne servono neanche troppi...)

il punto è che nel momento in cui un utente inserisce i suoi dati personali, il proprietario (o l'amministratore) del sito sono responsabili per la sicurezza di detti dati.

[Ospite]

da un punto di vista legale, nel momento in cui tu fai inserire dei dati personali (e la password è uno di quelli) due sono le cose:
1) o fai si che l'utente acconsenta al trattamento dei dati personali (ed in questo caso devi avvertire che la sua password è in chiaro e può essere letta dall'amministratore)
2) oppure fai in modo da non poter leggere i dati sensibili dell'utente -> cripti la pwd
(per gli altri dati, visto che in generale serve di poterli leggere si ricade bene o male nel punto 1). Oltre a ciò criptare la pwd, come già detto, nè migliora la sicurezza.
md5 è sì one-way, ma con un po' di cavalli-calcolatore si riesce a forzare (conoscendo la chiave non ne servono neanche troppi...)

il punto è che nel momento in cui un utente inserisce i suoi dati personali, il proprietario (o l'amministratore) del sito sono responsabili per la sicurezza di detti dati.

Secondo me la password non è tra i dati personali di cui c'è l'accettazione o meno del trattamento degli stessi. Allora mettiamo anche i messaggi privati sono nel database di un forum e non penso che siano tra i dati che possono essere distruibuiti, a parte autorizzazioni giudiziare .

Per quando riguarda md5 anch'io avevo sentito questo, quindi se uno proprio ti hackera per trovare una password se sa fare una sequel injection secondo me sa anche ricavare la pass con l'md5, cmq non so se sia vero o no perchè io parlo sempre "lato programmatore" e non "lato hacker", non perché scrivo qui ma proprio perché anche se volessi sono negata per fare queste cose, so magari ceh bisgona programmare nella data maniera per non farsi hackerare ma poi non saprei neanche hackerare me stessa.

cmq in linea di massima sono anch'io dell'idea che quanto alla paura dell'aminisrtatore allora se c'è quella non stai in quella chat...o in quel forum ecc..perché allora anche se la tua password è criptata, sa tante di quelle cose di te...faccio un esempio: ora una nota chat con cui si potevano farsi diversi nick con diverse mail e diverse password, è passata ad una password unica (che no so se criptata o no perchè non è che io la usi) che gestisce tutti i diversi nick..quindi l'amministratore se vuole ora sa con quali nick tu entri e quali identità assumi, quindi al limite era meglio prima che non c'era la pass criptata (di prima lo so)..cmq faccio per fare un esempio..non vorrei iniziare una discussione su questo

Giusto allora aiutatemi con stò benedetto script. Io poi ci ho provato ma micca ci sono riuscito
(ehhhh sono uno stracciaballe lo so ma stà cosa mi ronza continuamente in testa... se volete apro un altro thread)

E' possibile fare una cosa tipo

Codice PHP:

$result = mysql_query("SELECT nick FROM tipo* WHERE nick=$nickdacercare",$db)


?