ciao a tutti, avrei un problema con la sicurezza di php. Ho un file, contenente user e pass , ma come li posso criptare? Grazie e ciao
ciao a tutti, avrei un problema con la sicurezza di php. Ho un file, contenente user e pass , ma come li posso criptare? Grazie e ciao
prova a guardare qui, dovresti avere vari metodi:
http://it.php.net/manual/it/function.crypt.php
EDIT: m edito, non si puo decriptare poi
ti converrebbe fare cosi: quando un utente si registra, cripti la sua password e la salvi nel file.
quando fa un login, cripti la password che immette e la verifichi con quella gia criptata nel file, in questo modo non la devi decriptare...
Ultima modifica di Dharlet : 15-07-2007 alle ore 14.14.08
uhm, per salvare le password solitamente non si criptano i dati, ma si salva l'hash invece della password stessa. Quando l'utente si logga, ti invia la password, e tu ricalcoli l'hash e lo confronti con quello memorizzato.
In questo modo TU non puoi sapere la password di un utente (che ad esempio potrebbe usarla per più siti) ma puoi solo resettarla
cfr. md5 e sha1
si beh era quello che intendevo...
non credevo si chiamasse hash :P
ma il concetto è lo stesso...
uhm, ecco.... no, il concetto è diverso ed importante da specificare:
- criptare è un procedimento bidirezionale - se vuoi recuperi le informazioni
- calcolare un hash è un procedimento unidirezionale - non puoi risalire alla stringa originaria (*)
Non è bello dire ad un utente "scrivi pure la password, fidati che te la cripto io". Il modo corretto è "scrivi pure la password, in ogni caso io non la saprò mai"
(*) in teoria. L'enorme e pallosa teoria della criptanalisi trova prima o poi vie per farlo - e in caso di disperazione c'è il brute force, se si hanno a disposizione un paio di anni
edit: poi non voglio dire che crypt non vada bene eh
crypt usa funzioni di hash, e fa esattamento quello che serve (come da esempio nella guida), ma il nome non è il migliore
Ultima modifica di dreadnaut : 15-07-2007 alle ore 14.43.50
uhm uhm ok xD
ho eliminato un po di ignoranza asd...
vi ricordo che decifrare dati personali è punibile penalmente
nei dati personali è inserita anche la password!
un utente deve venire a conoscenza di un eventuale uso improprio della propria password e questo deve essere chiaro all'atto dell'iscrizione
Approposito di questa iscrizione, riguardo alle note di uso proprio o improprio etc...Originalmente inviato da Swedenfox
cosa dovrei esattamente scrivere al momento della iscrizione? Che i dati sono riservati e non divulgati a terze parti, etc...
e sopratutto, in quel caso, che succede se mi entra uno nel sito e fa casini?
P.S. ricordo che ho un sito che non gestisce dati personali tipo nome, cognome e indirizzo, ma solo login e pass...
dipende dall'uso che ne vorrai fare, in ogni modo deve essere chiaramente specificato (codice sulla privacy e trattamento dati personali)Originalmente inviato da Dharlet
potresti essere responsabile , la non curanza o negligenza in termini di sicurezza puo' essere sintomo di accondiscendenza (da Corte di cassazione).Comunque cerca di evitare spiacevoli intrusioniOriginalmente inviato da Dharlet
esprimi chiaramente l'uso che ne farai sia di login e pass ti sollevi dai guaiOriginalmente inviato da Dharlet
grazie dell'avviso... avevo completamente tralasciato quell'aspetto eh eh....
Io ho creato una sorta di area download, uno per scaricare e inserire files si deve registrare, con nome e pass, nient'altro...
Vedrò di scrivere per bene eh eh
wow...sono uscito e mi ritrovo tutte ste' risposte!! Ora rispondo un pò io:
la funzione crypt() mi cripta sempre in modo diverso la password, quindi la devo scartare, ho appena letto e provato sha1 e funge benissimo! Grazie per gli aiuti e le risposte..ciao
p.s. cosa posso scrivere al momento dell'iscrizione come condizioni? I dati non vengono assolutamente fatti vedere...ciao
EDIT: c'è un modo per "decriptare lo sha1" ?
no, è irreversibile...
Io farei così:
StringaDiHash = md5 ("chiave segreta" . md5( StringaIniziale ) );
E' impossibile decifrare un algoritmo simile.
Lo stesso vbulletin (il software di cui fa uso questo forum) utilizza l'algoritmo sopra descritto.
mh...ok! Grazie per le risposte ed i chiarimenti al riguardo...ciao
ottima idea... allora optero per quello, a quel punto non devo preoccuparmi di note legali...Originalmente inviato da probid
Completamente errato!Originalmente inviato da Dharlet
Gli "esterni" (utenti in primis) non sanno che sistemi usi per cifrare i loro dati, e presumibilmente non gliene importa niente, ma tu devi metterli a conoscenza che tipo di trattamento avranno i dati che loro inseriscono.
E questa è una legge ben precisa (citata non ricordo da chi in questo topic).
Ciao!
Capito... grazie dell'informazioneOriginalmente inviato da debug