Solo testo | Testo con Immagini

Italian SMF

Supporto SMF => Supporto Extra => Discussione aperta da: Flavio93Zena il Venerdì - 21 Novembre 2014 - 09:51

Titolo: Password hashing/SSL in 2.1?
Inserito da: Flavio93Zena il Venerdì - 21 Novembre 2014 - 09:51
Beh inauguriamo la sezione dai :)
Domanda infame...
Io dal sito ufficiale leggo:
Citazione di: Oldiesmann il Venerdì - 21 Novembre 2014 - 06:40
      
  • Full SSL support throughout the forum. (NOTE: Requires appropriate certificate and configurations on the server.)
  • Password hashing has been improved from sha1 to bcrypt.

Di qui la domanda anzi le domande...

Direi che questa è la sezione giusta perchè riguarda 2.1 poi non so se volete spostare... Come vi pare :)
Intanto grazie in anticipo ^_^
Titolo: Re:Password hashing/SSL in 2.1?
Inserito da: emanuele il Sabato - 22 Novembre 2014 - 00:03
Citazione di: Flavio93Zena il Venerdì - 21 Novembre 2014 - 09:51
  • Perchè full SSL support? Io voglio già mettere SSL sul mio forum, avrò problemi visto che è 2.0.9?
Dipende da cosa si intende per "full".
Ad esempio:
[/list]
Codice Seleziona
[img]http://www.sitoesterno.tld/immagine.png[/img]
Citazione di: Flavio93Zena il Venerdì - 21 Novembre 2014 - 09:51
  • Sarebbe possibile con una mod tosta cambiare l'hashing delle password da sha1 a bcrypt? (che presumo essere più sicuro...) Anche a costo di costringere tutti a resettarla.
Onestamente non sono un esperto di crittografia, e per questo motivo sono stato felicissimo quando in elk abbiamo abbandonato il metodo "fatto in casa" per una libreria standard creata da gente che di crittografia ne sa sicuramente più di molti di noi messi assieme ed usata dai più famosi progetti web (inclusi phpBB, Joomla! e WordPress).
Detto questo, passare a bcrypt dovrebbe essere relativamente facile. Alla fine "basta" cambiare un paio di funzioni (e rimpiazzare del javascript).
Titolo: Re:Password hashing/SSL in 2.1?
Inserito da: Flavio93Zena il Sabato - 22 Novembre 2014 - 07:48
Capito per il primo punto... Azz :/ beh a sto punto sarebbe la simplemachines a pararmi le natiche direi visto che il software è configurato così, non è una cosa fatta ad hoc da parte mia...
Oltretutto ci sarebbe un modo per visualizzare comunque l'immagine? >_<

Per il secondo mi interesserebbe *molto* fare questo upgrade per 2.0.9 se questo significasse un hashing più forte delle password, e mi pare di capire di sì visto che la 2.1 lo utilizza di suo...
Titolo: Re:Password hashing/SSL in 2.1?
Inserito da: Flavio93Zena il Martedì - 02 Giugno 2015 - 03:06
Bumpo un topic molto vecchio in virtù del fatto che sha1 sta diventando ufficialmente obsoleto. Lo sarà completamente a partire dal 2017, anno in cui google penalizzerà i siti con criptatura sha1 e non accetterà più certificati basati su quello.
Sarebbe meglio aprire un topic in sezione supporto 2.0 per dedicarcisi ufficialmente, portandolo ad altre più resistenti? In questo caso lo dico anche per voi, perchè 2.1 non si sa quando uscirà, conoscendo simplemachines ;D
Titolo: Re:Password hashing/SSL in 2.1?
Inserito da: emanuele il Martedì - 02 Giugno 2015 - 10:26
I certificati e come la password viene salvata nel database son due cose estremamente diverse.
I certificati sono quelli usati per le connessioni ssl (https), google può "verificare" quelli, ma ovviamente non può controllare come la password viene salvata nel db.

Dubito che IS passi ad SSL, quindi dubito che avremo di questi problemi.

Personalmente, al momento ho parecchio altro per le mani ed SSL è tra le priorità più basse.
Mentre fare il backport del hashing delle password di 2.1 a 2.0 non entra nemmeno tra le cose che sono interessato a considerare, mi spiace.
Titolo: Re:Password hashing/SSL in 2.1?
Inserito da: Flavio93Zena il Lunedì - 11 Gennaio 2016 - 23:22
Apparentemente però non sono l'unico... https://github.com/Sorunome/SMF-bcrypt
http://www.simplemachines.org/community/index.php?topic=541872.0
Solo testo | Testo con Immagini