Autore Topic: alternativa SSL?  (Letto 3819 volte)

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
alternativa SSL?
« il: 16 Set 2012, 13:04:09 »
ho trovato questo componenente che sembrerebbe funzionare....
Encryption Configuration 1.8.2
 www.ratmilwebsolutions.com
lo conoscete? come è possibile testare l'effettiva criptazione delle password?
ciao

mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #1 il: 16 Set 2012, 14:15:32 »
altro aggeggio inutile :)

la pw criptata la puoi vedere con qualsiasi tool che ti permette di vedere gli headers es tamper data per ffox oppure con proxi come burpsuite

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #2 il: 16 Set 2012, 14:56:28 »
in che senso la posso vedere?
io ho provato ettercap e quando mi collego senza plugin la vedo in chiaro altrimenti codificata....
quei tool che dici te come funzionano?

mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #3 il: 16 Set 2012, 15:26:36 »
come è possibile testare l'effettiva criptazione delle password?
----------------------------------------------
in questo senso...
... si, anche ettercap va bene, è uno sniffer di rete

e quando mi collego senza plugin la vedo in chiaro altrimenti codificata....
---------------------------------------------------------------------------------------------------
mi sfugge qualcosa.... o sfugge a chi l'ha scritto..... verificherò

Comunque sia per non finire sempre in polemiche sull'uno o l'altro tool (ognuno è libero di credere a ciò che vuole)... è il principio che non va e anche quì per logica non per cultura informatica...

- Sacrifico un po' di velocità e appesantisco il sito con altro codice se quel plugin mi risolve vulnerabilità... ma prima devi dimostrarmi la vulnerabilità... io non ne conosco...

- Se le vulnerabilità si trovano negli errori di scrittura del codice è logico che più codice scrivi più hai possibilità di trovare buchi o semplici vettori, aggiungere plugin significa aggiungere codice.
Se si ritengono così avanti da poter "proteggere" con uno script joomla penso che joomla non avrebbe nessuna difficoltà ad inserirlo nel suo core... si intuisce come la pensano visto che per la sicurezza non hanno mai implementato nulla.

- Gli hoster DEVONO SMETTERLA DI DIRE IDIOZIE ai propri clienti diffamando joomla se non vogliono essere usati come pubblica disclosure della loro ignoranza e delle loro configurazioni da analfabeta che usano nei server...
dopo se vogliono fare qualsiasi cosa sono obbligati a leggere i log o a farli leggere a chi ci capisce e scoprono di quanto sono capre.

- Ma ANCHE I SEDICENTI programmatori dovrebbero smetterla di dirne... vuoi un esempio di uno che si da dello stupido da solo?
http://3dwebdesign.org/forum/index.php?showtopic=1113

nel primo post divulga una fantasia... ma ben documentata e descritta... poi guarda cosa scrive nel post seguente...

Attacks come from IP: xxxxxxx (may be are many, this ip is one of them). One of doors that hacker use is JCE exploit - JCE Extension Remote File Upload. This exploit work with all versions of JCE before 2.0.10.

... ti sembra un problema di joomla? ... ma lui insiste:
--------------------
This mean that all versions of Joomla 2.5 are also vulnerable!
---------------
dopo si accorge che non c'è negli upgrade di joomla... chissà come mai :)

- Le vulnerabilità c'erano, ci sono e ci saranno sempre l'unico "gioco sano" è correggerle non appenderci  codice esterno

M.
« Ultima modifica: 16 Set 2012, 15:37:39 da mau_develop »

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #4 il: 16 Set 2012, 15:36:01 »
ma io credo che questa  utilità non stia nel sanare vulnerabilità di joomla...ma nel dare la possibilità a chi non dispone di una connessione ssl di utilizzare un'alternativa valida o meno è da verificare....
il problema delle connessioni pubbliche rende necessario ed indispensabile attivarsi affinche il proprio sito sia accessibile in modo sicuro...se io mi collego da una rete pubblica le mie password ecc sono leggibili facilmente con un semplice sniffer...quindi questa se funzionante sarebbe una sicurezza in più...che ne dici?


mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #5 il: 16 Set 2012, 15:44:52 »
la connessione ssl è sicura perchè passi da una porta sicura.

.. ma ripeto, darò un'occhiara a quella cosa e ti dirò ... ma ti assicuro che ne ho viste tante... e spassionatamente ti consiglierei di tenere semplicemente aggiornato le estensioni e di fare backup costanti, magari prima di fare il backup fagli fare un check online di malware... proprio per avere una certezza in +

(ATTENZIONE) nella parte che ho aggiunto sopra si capisce anche una problematica importante.
Gli editors, i template etc sono vere e proprie estensioni.
joomla 1.5.26 con la prima versione di ja-purity è pericolosamente vulnerabile...

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #6 il: 16 Set 2012, 15:49:42 »
ok grazie...mi dici dove poter fare un controllo dei malware?
ciao

mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #7 il: 16 Set 2012, 15:55:46 »
http://sitecheck.sucuri.net/scanner/

..questo, tre quelli online, è dei più quotati

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #8 il: 16 Set 2012, 16:31:05 »
ok grazie....mille.

Offline lady r

  • Abituale
  • ****
  • Post: 903
    • Mostra profilo
Re:alternativa SSL?
« Risposta #9 il: 17 Set 2012, 00:13:53 »
i consigli di manu rendono sicuro il tuo sito ma non le password della gente che si connette al sito.


non sapevo che con un semplice sniffer potessi leggere le password che non passano sotto ssl, mi pare strano.
comunque basterebbe utilizzare un sistema di criptaggio lato client fatto con javascript, jquery ne ha uno che ho usato tempo fa se ricordo bene.
http://www.allise.net Se avete la PS3 dateci un occhiata :D

mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #10 il: 17 Set 2012, 07:59:36 »
comunque basterebbe utilizzare un sistema di criptaggio lato client fatto con javascript,
--------------------------------------------------------------------------------------------
...era quello che temevo avesse fatto quello dello script che dice opsosa... no, non è una grande soluzione

La password in chiaro quando ti connetti non è affatto un problema, sai quanti dati utili che spedisci in chiaro nelle request con i quali della pw poi te ne fai nulla...
Se passi dalla ssl tutto è criptato.

però bisogna tenere i piedi per terra ... queste misure hanno un senso su server dove sono custoditi dati importanti o quando ci si collega a intranet... su un sito joomla, su un server condiviso, per un normale uso di joomla... sono solo seghe mentali...imho

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #11 il: 17 Set 2012, 14:07:29 »
da come ho capito funzioni...ma è una mia supposizione questo plugin lavora cosi...

codifica le passoword prima di inviarle sul server e li re converte a secondo della chiave impostata
un dubbio è che le password assumono una stessa dicitura lette da ettercap...cosi come gli user...non capisco in che modo le codifichi....

mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #12 il: 17 Set 2012, 14:59:53 »
codifica le passoword prima di inviarle sul server
------------------------------------------------------------------
..prima del server c'è solo il client....

il problema è che ho visto una cosa simile che mi ha fatto ridere... tu compilavi il campo, lui faceva una richiesta ajax al server che gli restituiva la pw criptata... quindi usciva criptata col submit... :)

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #13 il: 17 Set 2012, 15:04:45 »
mhm io ho fatto la prova solo con ettercap e la password non è leggibile...almeno mi pare....che prove si possono fare per valutarne l'effettiva funzionalità?

mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #14 il: 17 Set 2012, 16:22:37 »
gli ho dato un occhiata, sembra che quello che vuol fare lo faccia a dovere.

il problema è che se hai qualcuno che ti sniffa la rete prova a pensare quante "cose" in chiaro passano.... la pw di joomla è l'ultimo dei problemi

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #15 il: 17 Set 2012, 17:46:45 »
ottimo direi....be la password protetta è sempre la cosa principale....poi il resto è importante....ovviamentte ma non credo ci siano alternative a ssl.......


mau_develop

  • Visitatore
Re:alternativa SSL?
« Risposta #16 il: 17 Set 2012, 18:14:00 »
hai verificto di avere la libreria math sul server?

... tieni anche presente che chiunque fa un login sul tuo sito deve avere js abilitato... io sarò un caso raro ma js non ce l'ho mai abilitato di default... infatti vedi come quoto :)

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:alternativa SSL?
« Risposta #17 il: 17 Set 2012, 19:29:46 »
si le librerie sono attive...per js è facoltà degli utenti....

 

Host

Torna su