Joomla.it Forum
Non solo Joomla... => Sicurezza => : opsosa 16 Sep 2012, 13:04:09
-
ho trovato questo componenente che sembrerebbe funzionare....
Encryption Configuration 1.8.2
www.ratmilwebsolutions.com (http://www.ratmilwebsolutions.com)
lo conoscete? come è possibile testare l'effettiva criptazione delle password?
ciao
-
altro aggeggio inutile :)
la pw criptata la puoi vedere con qualsiasi tool che ti permette di vedere gli headers es tamper data per ffox oppure con proxi come burpsuite
M.
-
in che senso la posso vedere?
io ho provato ettercap e quando mi collego senza plugin la vedo in chiaro altrimenti codificata....
quei tool che dici te come funzionano?
-
come è possibile testare l'effettiva criptazione delle password?
----------------------------------------------
in questo senso...
... si, anche ettercap va bene, è uno sniffer di rete
e quando mi collego senza plugin la vedo in chiaro altrimenti codificata....
---------------------------------------------------------------------------------------------------
mi sfugge qualcosa.... o sfugge a chi l'ha scritto..... verificherò
Comunque sia per non finire sempre in polemiche sull'uno o l'altro tool (ognuno è libero di credere a ciò che vuole)... è il principio che non va e anche quì per logica non per cultura informatica...
- Sacrifico un po' di velocità e appesantisco il sito con altro codice se quel plugin mi risolve vulnerabilità... ma prima devi dimostrarmi la vulnerabilità... io non ne conosco...
- Se le vulnerabilità si trovano negli errori di scrittura del codice è logico che più codice scrivi più hai possibilità di trovare buchi o semplici vettori, aggiungere plugin significa aggiungere codice.
Se si ritengono così avanti da poter "proteggere" con uno script joomla penso che joomla non avrebbe nessuna difficoltà ad inserirlo nel suo core... si intuisce come la pensano visto che per la sicurezza non hanno mai implementato nulla.
- Gli hoster DEVONO SMETTERLA DI DIRE IDIOZIE ai propri clienti diffamando joomla se non vogliono essere usati come pubblica disclosure della loro ignoranza e delle loro configurazioni da analfabeta che usano nei server...
dopo se vogliono fare qualsiasi cosa sono obbligati a leggere i log o a farli leggere a chi ci capisce e scoprono di quanto sono capre.
- Ma ANCHE I SEDICENTI programmatori dovrebbero smetterla di dirne... vuoi un esempio di uno che si da dello stupido da solo?
http://3dwebdesign.org/forum/index.php?showtopic=1113
nel primo post divulga una fantasia... ma ben documentata e descritta... poi guarda cosa scrive nel post seguente...
Attacks come from IP: xxxxxxx (may be are many, this ip is one of them). One of doors that hacker use is JCE exploit - JCE Extension Remote File Upload. This exploit work with all versions of JCE before 2.0.10.
... ti sembra un problema di joomla? ... ma lui insiste:
--------------------
This mean that all versions of Joomla 2.5 are also vulnerable!
---------------
dopo si accorge che non c'è negli upgrade di joomla... chissà come mai :)
- Le vulnerabilità c'erano, ci sono e ci saranno sempre l'unico "gioco sano" è correggerle non appenderci codice esterno
M.
-
ma io credo che questa utilità non stia nel sanare vulnerabilità di joomla...ma nel dare la possibilità a chi non dispone di una connessione ssl di utilizzare un'alternativa valida o meno è da verificare....
il problema delle connessioni pubbliche rende necessario ed indispensabile attivarsi affinche il proprio sito sia accessibile in modo sicuro...se io mi collego da una rete pubblica le mie password ecc sono leggibili facilmente con un semplice sniffer...quindi questa se funzionante sarebbe una sicurezza in più...che ne dici?
-
la connessione ssl è sicura perchè passi da una porta sicura.
.. ma ripeto, darò un'occhiara a quella cosa e ti dirò ... ma ti assicuro che ne ho viste tante... e spassionatamente ti consiglierei di tenere semplicemente aggiornato le estensioni e di fare backup costanti, magari prima di fare il backup fagli fare un check online di malware... proprio per avere una certezza in +
(ATTENZIONE) nella parte che ho aggiunto sopra si capisce anche una problematica importante.
Gli editors, i template etc sono vere e proprie estensioni.
joomla 1.5.26 con la prima versione di ja-purity è pericolosamente vulnerabile...
M.
-
ok grazie...mi dici dove poter fare un controllo dei malware?
ciao
-
http://sitecheck.sucuri.net/scanner/
..questo, tre quelli online, è dei più quotati
M.
-
ok grazie....mille.
-
i consigli di manu rendono sicuro il tuo sito ma non le password della gente che si connette al sito.
non sapevo che con un semplice sniffer potessi leggere le password che non passano sotto ssl, mi pare strano.
comunque basterebbe utilizzare un sistema di criptaggio lato client fatto con javascript, jquery ne ha uno che ho usato tempo fa se ricordo bene.
-
comunque basterebbe utilizzare un sistema di criptaggio lato client fatto con javascript,
--------------------------------------------------------------------------------------------
...era quello che temevo avesse fatto quello dello script che dice opsosa... no, non è una grande soluzione
La password in chiaro quando ti connetti non è affatto un problema, sai quanti dati utili che spedisci in chiaro nelle request con i quali della pw poi te ne fai nulla...
Se passi dalla ssl tutto è criptato.
però bisogna tenere i piedi per terra ... queste misure hanno un senso su server dove sono custoditi dati importanti o quando ci si collega a intranet... su un sito joomla, su un server condiviso, per un normale uso di joomla... sono solo seghe mentali...imho
M.
-
da come ho capito funzioni...ma è una mia supposizione questo plugin lavora cosi...
codifica le passoword prima di inviarle sul server e li re converte a secondo della chiave impostata
un dubbio è che le password assumono una stessa dicitura lette da ettercap...cosi come gli user...non capisco in che modo le codifichi....
-
codifica le passoword prima di inviarle sul server
------------------------------------------------------------------
..prima del server c'è solo il client....
il problema è che ho visto una cosa simile che mi ha fatto ridere... tu compilavi il campo, lui faceva una richiesta ajax al server che gli restituiva la pw criptata... quindi usciva criptata col submit... :)
M.
-
mhm io ho fatto la prova solo con ettercap e la password non è leggibile...almeno mi pare....che prove si possono fare per valutarne l'effettiva funzionalità?
-
gli ho dato un occhiata, sembra che quello che vuol fare lo faccia a dovere.
il problema è che se hai qualcuno che ti sniffa la rete prova a pensare quante "cose" in chiaro passano.... la pw di joomla è l'ultimo dei problemi
M.
-
ottimo direi....be la password protetta è sempre la cosa principale....poi il resto è importante....ovviamentte ma non credo ci siano alternative a ssl.......
-
hai verificto di avere la libreria math sul server?
... tieni anche presente che chiunque fa un login sul tuo sito deve avere js abilitato... io sarò un caso raro ma js non ce l'ho mai abilitato di default... infatti vedi come quoto :)
M.
-
si le librerie sono attive...per js è facoltà degli utenti....