ciao a tutti, avrei un problema con la sicurezza di php. Ho un file, contenente user e pass , ma come li posso criptare? Grazie e ciao :wink:
Printable View
ciao a tutti, avrei un problema con la sicurezza di php. Ho un file, contenente user e pass , ma come li posso criptare? Grazie e ciao :wink:
prova a guardare qui, dovresti avere vari metodi:
http://it.php.net/manual/it/function.crypt.php
EDIT: m edito, non si puo decriptare poi :mrgreen:
ti converrebbe fare cosi: quando un utente si registra, cripti la sua password e la salvi nel file.
quando fa un login, cripti la password che immette e la verifichi con quella gia criptata nel file, in questo modo non la devi decriptare...
uhm, per salvare le password solitamente non si criptano i dati, ma si salva l'hash invece della password stessa. Quando l'utente si logga, ti invia la password, e tu ricalcoli l'hash e lo confronti con quello memorizzato.
In questo modo TU non puoi sapere la password di un utente (che ad esempio potrebbe usarla per più siti) ma puoi solo resettarla
cfr. md5 e sha1
si beh era quello che intendevo...
non credevo si chiamasse hash :P
ma il concetto è lo stesso...
uhm, ecco.... no, il concetto è diverso ed importante da specificare:
- criptare è un procedimento bidirezionale - se vuoi recuperi le informazioni
- calcolare un hash è un procedimento unidirezionale - non puoi risalire alla stringa originaria (*)
Non è bello dire ad un utente "scrivi pure la password, fidati che te la cripto io". Il modo corretto è "scrivi pure la password, in ogni caso io non la saprò mai" :mrgreen:
(*) in teoria. L'enorme e pallosa teoria della criptanalisi trova prima o poi vie per farlo - e in caso di disperazione c'è il brute force, se si hanno a disposizione un paio di anni
edit: poi non voglio dire che crypt non vada bene eh :mrgreen:
crypt usa funzioni di hash, e fa esattamento quello che serve (come da esempio nella guida), ma il nome non è il migliore :mrgreen:
uhm uhm ok xD
ho eliminato un po di ignoranza asd...
vi ricordo che decifrare dati personali è punibile penalmente
nei dati personali è inserita anche la password!
un utente deve venire a conoscenza di un eventuale uso improprio della propria password e questo deve essere chiaro all'atto dell'iscrizione
Approposito di questa iscrizione, riguardo alle note di uso proprio o improprio etc...Citazione:
Originalmente inviato da Swedenfox
cosa dovrei esattamente scrivere al momento della iscrizione? Che i dati sono riservati e non divulgati a terze parti, etc...
e sopratutto, in quel caso, che succede se mi entra uno nel sito e fa casini?
P.S. ricordo che ho un sito che non gestisce dati personali tipo nome, cognome e indirizzo, ma solo login e pass...
dipende dall'uso che ne vorrai fare, in ogni modo deve essere chiaramente specificato (codice sulla privacy e trattamento dati personali)Citazione:
Originalmente inviato da Dharlet
potresti essere responsabile , la non curanza o negligenza in termini di sicurezza puo' essere sintomo di accondiscendenza (da Corte di cassazione).Comunque cerca di evitare spiacevoli intrusioniCitazione:
Originalmente inviato da Dharlet
esprimi chiaramente l'uso che ne farai sia di login e pass ti sollevi dai guaiCitazione:
Originalmente inviato da Dharlet
grazie dell'avviso... avevo completamente tralasciato quell'aspetto eh eh....
Io ho creato una sorta di area download, uno per scaricare e inserire files si deve registrare, con nome e pass, nient'altro...
Vedrò di scrivere per bene eh eh
wow...sono uscito e mi ritrovo tutte ste' risposte!! Ora rispondo un pò io:
la funzione crypt() mi cripta sempre in modo diverso la password, quindi la devo scartare, ho appena letto e provato sha1 e funge benissimo! Grazie per gli aiuti e le risposte..ciao :wink:
p.s. cosa posso scrivere al momento dell'iscrizione come condizioni? I dati non vengono assolutamente fatti vedere...ciao
EDIT: c'è un modo per "decriptare lo sha1" ?
no, è irreversibile...
Io farei così:
StringaDiHash = md5 ("chiave segreta" . md5( StringaIniziale ) );
E' impossibile decifrare un algoritmo simile.
Lo stesso vbulletin (il software di cui fa uso questo forum) utilizza l'algoritmo sopra descritto.
mh...ok! Grazie per le risposte ed i chiarimenti al riguardo...ciao :mrgreen:
ottima idea... allora optero per quello, a quel punto non devo preoccuparmi di note legali...Citazione:
Originalmente inviato da probid
Completamente errato!Citazione:
Originalmente inviato da Dharlet
Gli "esterni" (utenti in primis) non sanno che sistemi usi per cifrare i loro dati, e presumibilmente non gliene importa niente, ma tu devi metterli a conoscenza che tipo di trattamento avranno i dati che loro inseriscono.
E questa è una legge ben precisa (citata non ricordo da chi in questo topic).
Ciao!
Capito... grazie dell'informazione :mrgreen:Citazione:
Originalmente inviato da debug