Autore Topic: dead  (Letto 14504 volte)

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:torna il bazaar del bunker
« Risposta #15 il: 29 Giugno 2018, 21:04:09 »
Citazione
Plz do some reading about storing passwords, hashing on its own is not common practice! Never roll your own, md5 and base64 is so trivial to reverse you might as well store plain text. Fix that before worrying about https.

questa e' vera? se si, cosa si fa?

Si, è vera. MD5 è molto semplice e quindi velocissimo da computare ed inoltre ha diverse vulnerabilità scoperte.

Per memorizzare password come minimo serve una funzione di hash crittografica, come la serie SHA, anche se è meglio già oggi orientarsi verso SHA-2 visto che per SHA-1 è stata trovata una collisione.

Però la soluzione "moderna" (fra virgolette perchè esiste da vent'anni) è usare delle funzioni di hashing specificatamente studiate per memorizzare password, come bcrypt e la più nuova scrypt. L'idea di queste funzioni è che applicano una procedura in più iterazioni (come parametro configurabile) in modo da rendere molto più lenta l'operazione di hashing; l'idea è che un uso corretto della funzione (ovvero controllare la password) è una operazione una-tantum e quindi anche se è un po' più lenta non è un problema, mentre i metodi brute-force vengono penalizzati. Il parametro di iterazione è configurabile e sarebbe da aumentare man mano che la potenza di calcolo media aumenta in modo da mantenere circa costante il tempo che sarebbe necessario per un completo brute-force.

Quindi, "cosa si fa?": usa o bcrypt o se puoi scrypt, con l'opportuno salt e un parametro di iterazione più alto possibile senza inficiare nel carico del tuo server (a spanne direi di tararlo in modo che impieghi circa 100ms a password)


Riguardo la cosa del GDPR, come tutte le cose lui non "forza" o "richiede" nulla, sta al gestore del dato fornire un risk-assestment riguardo alle soluzioni che implementa per garantire la sicurezza del dato.
C'è comunque da tener conto che il linguaggio del GDPR richiama sempre lo "stato dell'arte" nella tecnologia di protezione dei dati, e in un certo senso "si aspetta" che venga seguito lo stato dell'arte, ovviamente dove possibile e senza esagerare (nel senso che un panettiere non è tenuto ad avere un datacenter con guardie armate).

Vedi ad esempio: https://gdpr-info.eu/art-32-gdpr/
Citazione
Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk [...]

Quindi diciamo che tu puoi anche fare a meno di applicare la cifratura al trasporto, però è molto probabile che se mai qualcuno dovesse avere i suoi dati personali rubati da un attacco MITM mentre navigava sul tuo sito, probabilmente ti contesteranno che HTTPS è una  tecnologia diffusa e di economica applicazione (economica sia di tempo che di danaro) e quindi non aveva senso non applicarla.

Ovviamente non sono un avvocato quindi prendi quello che ho detto con un grosso grano di sale. ;D

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:torna il bazaar del bunker
« Risposta #16 il: 29 Giugno 2018, 22:41:10 »
- ti tocca per forza comprare un dominio, che sono come minimo 20-30 Euro all'anno

Nah, riesci a trovarli anche intorno a 10-15 (e tipicamente il primo anno de lo danno a prezzo stracciato, quindi puoi anche provare e poi farlo scadere).
Per esempio ho provato la procedura per acquistare downthebunker.com su register.it e te lo danno a 0.90 per il primo anno, e quando ho scelto 2 anni mi faceva 24 euro, quindi 12 all'anno. Ovviamente pagando subito 10 anni ti fa 10.2 all'anno ma non credo sia una soluzione.
Probabilmente vorrai comprare anche la "protezione identità" che non mostra i tuoi dati nel whois, però a mente non ricordo quanto costa.

EDIT: un amico mi ha indicato questo registrar: https://www.namesilo.com/
Ci ha comprato un dominio .bid per 1.89$ con protezione whois inclusa.

che e' un costo pure, visto che a noi di quattrini non ne entrano, che ci stiamo gia' mettendo corrente, macchine (che accese 24h/24 si usurano e vanno considerati i ricambi), oltre che tempo personale

Fai una seria valutazione su questo, perchè ormai i servizi di hosting VPS sono molto più convenienti rispetto a gestire l'hardware in proprio: il tier base su DigitalOcean o Linode è di 5 dollari al mese e anche se ti danno un core e mezzo giga di ram girano su mostri Xeon e quindi viaggiano di brutto; inoltre hanno connettività gigabit o superiore verso Internet (Linode addirittura ha  un download verso il VPS di 40 Gbps su tutti i tier :o)

Probabilmente se fai anche solo il conto dell'elettricità che usi per tenere acceso un bidoncino che fa da server ti escono più di 5 euro al mese, specialmente qui in Italia dove la corrente costa un botto...

non vedo come possano sfondare il modulo di autenticazione

Di solito quando si parla di brute-force non si intende che attivamente fanno tentativi di intrusione, ma si assume che ti hanno già rubato i dati dal database e quindi hanno già l'hash di destinazione che devono cercare di matchare con un qualche plaintext.

cosa te pare dell'autenticazione tramite hash di un file da uploadare piuttosto che password da digitare?

droppo questa cosa, lascio la classica password da digitare, o entrambe, selezionando poi quale si desidera usare?

Dal punto di vista della sicurezza non fa né caldo né freddo: una volta che il file gigante è stato hashato, hai ridotto l'informazione alla lunghezza dell'hash, e all'attaccante basta solo trovare qualche testo che genera lo stesso hash del tuo file gigante.

Io direi di lasciare solo la password tradizionale e implementare l'hashing con quelle funzioni che ti descrivevo prima; in questo modo saresti già meglio del 99.9999% dei login "fatti in casa" che ci sono su Internet.
« Ultima modifica: 29 Giugno 2018, 23:13:22 da Z80Fan »

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:torna il bazaar del bunker
« Risposta #17 il: 29 Giugno 2018, 23:21:56 »
quindi, questi "tizi", visto che non sono capaci di creare una nuova coppia nick/password, possono usare il vecchio nick ed usare un file al posto della password, e ... la cosa dovrebbe mettere a tacere una volta per tutte RadionDick e tutti i suoi seguaci

Ma io non riesco ancora a capire questo ragionamento: la gente sta veramente venendo da te a dirti "gne gne non mi registro sul tuo sito perchè altrimenti usi la password per accedere a tutti gli altri siti con cui ho la stessa password" ?

Non si rendono proprio conto che stanno facendo la figura dei ritardati mentali? Probabilmente si meriterebbero anche di vedersi gli account compromessi (non certamente da te, ma prima o poi un sito che usano sarà violato e allora tanti auguri).

Inoltre è palese che se qualcuno viene a dirti tali ritardaggini è solo perchè vuole diffamarti; se implementi la cosa dei file probabilmente direbbero che quando fai l'upload tu gli formatti il disco e mandi tutto al governo russo...

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:torna il bazaar del bunker
« Risposta #18 il: 30 Giugno 2018, 10:36:48 »
A proposito di VPS, io mi sto trovando veramente bene con questo : https://www.time4vps.eu
Ci tengo su un serverino per EmuLa (il frontend per gli emulatori che ho fatto io), ci gestisco le attivazioni dei seriali e ci colleziono un po' di statistiche dai client.
Mi sono beccato una promo a 20/anno per questa macchina :
Codice: [Seleziona]
OS: Ubuntu 16.04 (64-bit)
Processor: 1 x 2.4 GHz
Memory: 1024 MB
Hard disk: 40 GB
Inodes: 1,000,000
Bandwidth: 100 Mbps (Monthly limit: 2 TB)
Fanno i backup giornalieri e settimanali a gratis, ma per un ripristino ti chiedono 10€ e non ricordo male.

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:torna il bazaar del bunker
« Risposta #19 il: 01 Luglio 2018, 19:14:25 »
A proposito di VPS, io mi sto trovando veramente bene con questo : https://www.time4vps.eu

Interessante, non lo avevo mai visto.
Attenzione che la versione "standard VPS" in realtà non è un VPS come tipicamente si dice ma è un container OpenVZ (lo scrivono nei FAQ); non che sia niente di male, ma è giusto tener conto quando si comparano altri provider. I VPS "veri" sono quelli sotto "KVM Linux VPS".

Interessante la scontistica che viene applicata quando si acquista annualmente/biannualmente.

ieri sera, dietro suggeriento di Z80fan (che ringraziamo tutti), abbiamo preso un dominio a 2 euro

;D

Offline Z80Fan

  • Administrator
  • Guru
  • *****
  • Post: 1671
  • Karma: +13/-2
    • Mostra profilo
    • http://z80fan.altervista.org
Re:torna il bazaar del bunker
« Risposta #20 il: 09 Luglio 2018, 18:36:39 »
Io userei un cookie normale e basta. Se un utente cancella i cookie o imposta il suo browser per rimuoverli a fine della sessione, per definizione sta indicando che vuole essere "dimenticato" e quindi ha senso che il sito ogni volta creda che è un utente nuovo, i.e. gli riproponga l'accettazione della privacy.

Sui browser che lo supportano puoi usare l'HTML5 Web Storage, che ha il vantaggio che non viene trasmesso al server e rimane totalmente in locale; se il browser non lo supporta fai un fallback sui cookies.

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:torna il bazaar del bunker
« Risposta #21 il: 11 Luglio 2018, 16:36:17 »
arrivano, per fortuna, anche messaggi incoraggianti 

Citazione
thanks for taking care of those machines from the good old days! I wish your site much success and hopefully it will attract lot of people to ensure much SGI/HP stuff will survive ;-)

Vedi che non sono tutti cattivi!
 ;D

Offline saimon69

  • Guru
  • *****
  • Post: 1833
  • Karma: +23/-3
  • Web Dev e musicista da camera (da letto)
    • Mostra profilo
    • binarydoodles Blog
Re:torna il bazaar del bunker
« Risposta #22 il: 12 Luglio 2018, 08:03:45 »
Vedi che non sono tutti cattivi!
 ;D

Ma non sono cattivi, solamente son cosi' egocentrici e hanno la testa infilata cosi profondamente dentro le chiappe che possono diagnosticarsi problemi allo stomaco a vista!
AROS : mica bau bau micio micio =^x^=

Offline Allanon

  • Administrator
  • Synthetic Voodoo
  • *****
  • Post: 3498
  • Karma: +17/-4
    • Mostra profilo
    • http://www.a-mc.biz
Re:torna il bazaar del bunker
« Risposta #23 il: 12 Luglio 2018, 16:31:29 »
Hihi, io fossi in te lo collegherei ad una webcam : un solo sguardo sul pulsantone ed il messaggio finisce nel cesso :D
Perchè sprecare inutili energie motorie per certi elementi?
 ;D ;D

Offline saimon69

  • Guru
  • *****
  • Post: 1833
  • Karma: +23/-3
  • Web Dev e musicista da camera (da letto)
    • Mostra profilo
    • binarydoodles Blog
Re:torna il bazaar del bunker
« Risposta #24 il: 19 Luglio 2018, 21:06:20 »
Un offerta che non puoi rifiutare :(
AROS : mica bau bau micio micio =^x^=

Offline saimon69

  • Guru
  • *****
  • Post: 1833
  • Karma: +23/-3
  • Web Dev e musicista da camera (da letto)
    • Mostra profilo
    • binarydoodles Blog
Re:torna il bazaar del bunker
« Risposta #25 il: 20 Luglio 2018, 22:36:29 »
Con sta gente che usa metodi maFFiosi non so quale sia la tattica giusta per reagire :(
AROS : mica bau bau micio micio =^x^=

Tags: