Password hashing/SSL in 2.1?

Aperto da Flavio93Zena, Venerdì - 21 Novembre 2014 - 09:51

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

Flavio93Zena

Beh inauguriamo la sezione dai :)
Domanda infame...
Io dal sito ufficiale leggo:
Citazione di: Oldiesmann il Venerdì - 21 Novembre 2014 - 06:40
      
  • Full SSL support throughout the forum. (NOTE: Requires appropriate certificate and configurations on the server.)
  • Password hashing has been improved from sha1 to bcrypt.

Di qui la domanda anzi le domande...
  • Perchè full SSL support? Io voglio già mettere SSL sul mio forum, avrò problemi visto che è 2.0.9?
  • Sarebbe possibile con una mod tosta cambiare l'hashing delle password da sha1 a bcrypt? (che presumo essere più sicuro...) Anche a costo di costringere tutti a resettarla.

Direi che questa è la sezione giusta perchè riguarda 2.1 poi non so se volete spostare... Come vi pare :)
Intanto grazie in anticipo ^_^

emanuele

Citazione di: Flavio93Zena il Venerdì - 21 Novembre 2014 - 09:51
  • Perchè full SSL support? Io voglio già mettere SSL sul mio forum, avrò problemi visto che è 2.0.9?
Dipende da cosa si intende per "full".
Ad esempio:
[/list][img]http://www.sitoesterno.tld/immagine.png[/img]

    Se in un tuo forum su https usi quel bbcode l'immagine non verrà caricata perché risiede su un server che utilizza http.
    Lo stesso vale per avatar linkati da siti esterni.
    XenForo prima ed SMF "ora", andranno a "scaricare" l'immagine sul tuo server creando una sorta di cache e la serviranno da lì.
    Quando ho proposto una simile soluzione per Elk, mi è stato fatto notare, giustamente, che in alcuni casi, questo comportamento, potrebbe essere considerato illegale (e quanto meno borderline) dal punto di vista del diritto d'autore.
    Argomentazione risibile in alcuni casi, ma condivisibile quanto meno sulle linee generali (dato che google in diversi stati è stato citato in giudizio per comportamenti simili).

Citazione di: Flavio93Zena il Venerdì - 21 Novembre 2014 - 09:51
  • Sarebbe possibile con una mod tosta cambiare l'hashing delle password da sha1 a bcrypt? (che presumo essere più sicuro...) Anche a costo di costringere tutti a resettarla.
Onestamente non sono un esperto di crittografia, e per questo motivo sono stato felicissimo quando in elk abbiamo abbandonato il metodo "fatto in casa" per una libreria standard creata da gente che di crittografia ne sa sicuramente più di molti di noi messi assieme ed usata dai più famosi progetti web (inclusi phpBB, Joomla! e WordPress).
Detto questo, passare a bcrypt dovrebbe essere relativamente facile. Alla fine "basta" cambiare un paio di funzioni (e rimpiazzare del javascript).

Flavio93Zena

#2
Capito per il primo punto... Azz :/ beh a sto punto sarebbe la simplemachines a pararmi le natiche direi visto che il software è configurato così, non è una cosa fatta ad hoc da parte mia...
Oltretutto ci sarebbe un modo per visualizzare comunque l'immagine? >_<

Per il secondo mi interesserebbe *molto* fare questo upgrade per 2.0.9 se questo significasse un hashing più forte delle password, e mi pare di capire di sì visto che la 2.1 lo utilizza di suo...

Flavio93Zena

Bumpo un topic molto vecchio in virtù del fatto che sha1 sta diventando ufficialmente obsoleto. Lo sarà completamente a partire dal 2017, anno in cui google penalizzerà i siti con criptatura sha1 e non accetterà più certificati basati su quello.
Sarebbe meglio aprire un topic in sezione supporto 2.0 per dedicarcisi ufficialmente, portandolo ad altre più resistenti? In questo caso lo dico anche per voi, perchè 2.1 non si sa quando uscirà, conoscendo simplemachines ;D

emanuele

I certificati e come la password viene salvata nel database son due cose estremamente diverse.
I certificati sono quelli usati per le connessioni ssl (https), google può "verificare" quelli, ma ovviamente non può controllare come la password viene salvata nel db.

Dubito che IS passi ad SSL, quindi dubito che avremo di questi problemi.

Personalmente, al momento ho parecchio altro per le mani ed SSL è tra le priorità più basse.
Mentre fare il backport del hashing delle password di 2.1 a 2.0 non entra nemmeno tra le cose che sono interessato a considerare, mi spiace.

Flavio93Zena


Discussioni simili (3)