[bglug] Token Link
Alexander Possov
alexanderpossov@gmail.com
Gio 18 Ott 2007 17:00:36 CEST
On 10/18/07, Marco Morosini <linux@marcomorosini.it> wrote:
>
> riformulo la risposta allora: usa un algoritmo di criptazione che
> funziona nei due sensi (ad es. ALGORITMI DI MODIFICA SINGOLA DEI
> CARATTERI)
>
> decidi la lunghezza max del nome utente (ad esempio 10)
> nome utente + eventuali spazi per arrivare a 10 -> cripto lettera per
> lettera -> sd4fs5iof3
> stessa cosa per pw e nome del file (il primo, quello fittizio)
>
> il link diventa:
> http://indirizzo/cerca.php?id=sd4fs5iof3nh234ou239rhj2389pdj230duj2309dwe234
> dove i primi 10 sono il nome utente, poi hai il campo pw, poi il nome
> file, ecc
>
> la pagina che riceve la richiesta non fa altro che il percorso
> all'indietro (scompone il token in parti) cioè i primi 10 caratteri saranno
> il nome utente (a cui applicare l'algoritmo di decriptazione), di seguito la
> password e così via
>
> l'anello debole è che se un eventuale attaccante avesse a disposizone un
> numero sufficiente di token potrebbe capire quale è l'algoritmo usato e
> quindi risalire al testo in chiaro.
>
> effettivamente però tu avrai solo un numero di token validi attivi in quel
> momento e una volta scaricato il file si possono disattivare automaticamente
>
> i modi per aumentare la sicurezza sono innumerevoli: ad esempio puoi
> contare il numero di tentativi di accesso consecutivi da un dato ip e se
> superano i 10 (tutti falliti) puoi pensare di bloccare quell'ip
>
> p.s. sono solo suggerimenti, ma se vuoi venire al lug possiamo smanettare
> un po' insieme e rendere funzionante il tutto - gratis e con software open
> source si intende!
>
> saluti,
> Marco - Goblin
>
>
> --
> Sito BgLUG: http://www.bglug.it
> Mailing list: http://www.bglug.it/list/bglug
> BgLUG-biz!: http://www.bglug.it/list/bglug-biz
>
Scusa allora... non avevo inteso io la tua prima risposta.
Scritta così mi piace molto di più, può essere una soluzione valida,
sicuramente.
Io molto probabilmente sarò presente sabato 27, se ci sei possiamo fare 2
chiacchiere ;)
Nel frattempo prometto che mi informo al meglio su come lavorano i token e
penso a qualche altro metodo, tanto per fare l'avvocato del diavolo.
Intanto grazie molte.
Alessandro
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/bglug/attachments/20071018/b7307a06/attachment.htm
Maggiori informazioni sulla lista
bglug