[bglug] Token Link
Marco Morosini
linux@marcomorosini.it
Gio 18 Ott 2007 16:39:06 CEST
riformulo la risposta allora: usa un algoritmo di criptazione che funziona nei due sensi (ad es. ALGORITMI DI MODIFICA SINGOLA DEI CARATTERI)
decidi la lunghezza max del nome utente (ad esempio 10)
nome utente + eventuali spazi per arrivare a 10 -> cripto lettera per lettera -> sd4fs5iof3
stessa cosa per pw e nome del file (il primo, quello fittizio)
il link diventa: http://indirizzo/cerca.php?id=sd4fs5iof3nh234ou239rhj2389pdj230duj2309dwe234
dove i primi 10 sono il nome utente, poi hai il campo pw, poi il nome file, ecc
la pagina che riceve la richiesta non fa altro che il percorso all'indietro (scompone il token in parti) cioè i primi 10 caratteri saranno il nome utente (a cui applicare l'algoritmo di decriptazione), di seguito la password e così via
l'anello debole è che se un eventuale attaccante avesse a disposizone un numero sufficiente di token potrebbe capire quale è l'algoritmo usato e quindi risalire al testo in chiaro.
effettivamente però tu avrai solo un numero di token validi attivi in quel momento e una volta scaricato il file si possono disattivare automaticamente
i modi per aumentare la sicurezza sono innumerevoli: ad esempio puoi contare il numero di tentativi di accesso consecutivi da un dato ip e se superano i 10 (tutti falliti) puoi pensare di bloccare quell'ip
p.s. sono solo suggerimenti, ma se vuoi venire al lug possiamo smanettare un po' insieme e rendere funzionante il tutto - gratis e con software open source si intende!
saluti,
Marco - Goblin
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/bglug/attachments/20071018/4e5ca918/attachment.htm
Maggiori informazioni sulla lista
bglug