Autore Topic: Password hashing/SSL in 2.1?  (Letto 1837 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline Flavio93Zena

  • Hero Member
  • *****
  • Post: 2972
  • Sesso: Maschio
  • Sniper Legends
    • Mostra profilo
    • Virtual Interactive Games Entertainment Forum
  • Versione SMF: 2.0.x
  • Versione ElkArte: 1.0.x
Password hashing/SSL in 2.1?
« il: Venerdì, 21 Novembre 2014 09:51 »
Beh inauguriamo la sezione dai :)
Domanda infame...
Io dal sito ufficiale leggo:
      
  • Full SSL support throughout the forum. (NOTE: Requires appropriate certificate and configurations on the server.)
  • Password hashing has been improved from sha1 to bcrypt.

Di qui la domanda anzi le domande...
  • Perchè full SSL support? Io voglio già mettere SSL sul mio forum, avrò problemi visto che è 2.0.9?
  • Sarebbe possibile con una mod tosta cambiare l'hashing delle password da sha1 a bcrypt? (che presumo essere più sicuro...) Anche a costo di costringere tutti a resettarla.

Direi che questa è la sezione giusta perchè riguarda 2.1 poi non so se volete spostare... Come vi pare :)
Intanto grazie in anticipo ^_^

Offline emanuele

  • Amministratore
  • *****
  • Post: 4851
    • Mostra profilo
    • ElkArte
  • Versione SMF: Altro
  • Versione ElkArte: 1.0.x
Re:Password hashing/SSL in 2.1?
« Risposta #1 il: Sabato, 22 Novembre 2014 00:03 »
  • Perchè full SSL support? Io voglio già mettere SSL sul mio forum, avrò problemi visto che è 2.0.9?
Dipende da cosa si intende per "full".
Ad esempio:
[/list]
Codice: [Seleziona]
[img]http://www.sitoesterno.tld/immagine.png[/img]
    Se in un tuo forum su https usi quel bbcode l'immagine non verrà caricata perché risiede su un server che utilizza http.
    Lo stesso vale per avatar linkati da siti esterni.
    XenForo prima ed SMF "ora", andranno a "scaricare" l'immagine sul tuo server creando una sorta di cache e la serviranno da lì.
    Quando ho proposto una simile soluzione per Elk, mi è stato fatto notare, giustamente, che in alcuni casi, questo comportamento, potrebbe essere considerato illegale (e quanto meno borderline) dal punto di vista del diritto d'autore.
    Argomentazione risibile in alcuni casi, ma condivisibile quanto meno sulle linee generali (dato che google in diversi stati è stato citato in giudizio per comportamenti simili).

  • Sarebbe possibile con una mod tosta cambiare l'hashing delle password da sha1 a bcrypt? (che presumo essere più sicuro...) Anche a costo di costringere tutti a resettarla.
Onestamente non sono un esperto di crittografia, e per questo motivo sono stato felicissimo quando in elk abbiamo abbandonato il metodo "fatto in casa" per una libreria standard creata da gente che di crittografia ne sa sicuramente più di molti di noi messi assieme ed usata dai più famosi progetti web (inclusi phpBB, Joomla! e WordPress).
Detto questo, passare a bcrypt dovrebbe essere relativamente facile. Alla fine "basta" cambiare un paio di funzioni (e rimpiazzare del javascript).

Offline Flavio93Zena

  • Hero Member
  • *****
  • Post: 2972
  • Sesso: Maschio
  • Sniper Legends
    • Mostra profilo
    • Virtual Interactive Games Entertainment Forum
  • Versione SMF: 2.0.x
  • Versione ElkArte: 1.0.x
Re:Password hashing/SSL in 2.1?
« Risposta #2 il: Sabato, 22 Novembre 2014 07:48 »
Capito per il primo punto... Azz :/ beh a sto punto sarebbe la simplemachines a pararmi le natiche direi visto che il software è configurato così, non è una cosa fatta ad hoc da parte mia...
Oltretutto ci sarebbe un modo per visualizzare comunque l'immagine? >_<

Per il secondo mi interesserebbe *molto* fare questo upgrade per 2.0.9 se questo significasse un hashing più forte delle password, e mi pare di capire di sì visto che la 2.1 lo utilizza di suo...
« Ultima modifica: Sabato, 22 Novembre 2014 08:06 da Flavio93Zena »

Offline Flavio93Zena

  • Hero Member
  • *****
  • Post: 2972
  • Sesso: Maschio
  • Sniper Legends
    • Mostra profilo
    • Virtual Interactive Games Entertainment Forum
  • Versione SMF: 2.0.x
  • Versione ElkArte: 1.0.x
Re:Password hashing/SSL in 2.1?
« Risposta #3 il: Martedì, 02 Giugno 2015 03:06 »
Bumpo un topic molto vecchio in virtù del fatto che sha1 sta diventando ufficialmente obsoleto. Lo sarà completamente a partire dal 2017, anno in cui google penalizzerà i siti con criptatura sha1 e non accetterà più certificati basati su quello.
Sarebbe meglio aprire un topic in sezione supporto 2.0 per dedicarcisi ufficialmente, portandolo ad altre più resistenti? In questo caso lo dico anche per voi, perchè 2.1 non si sa quando uscirà, conoscendo simplemachines ;D

Offline emanuele

  • Amministratore
  • *****
  • Post: 4851
    • Mostra profilo
    • ElkArte
  • Versione SMF: Altro
  • Versione ElkArte: 1.0.x
Re:Password hashing/SSL in 2.1?
« Risposta #4 il: Martedì, 02 Giugno 2015 10:26 »
I certificati e come la password viene salvata nel database son due cose estremamente diverse.
I certificati sono quelli usati per le connessioni ssl (https), google può "verificare" quelli, ma ovviamente non può controllare come la password viene salvata nel db.

Dubito che IS passi ad SSL, quindi dubito che avremo di questi problemi.

Personalmente, al momento ho parecchio altro per le mani ed SSL è tra le priorità più basse.
Mentre fare il backport del hashing delle password di 2.1 a 2.0 non entra nemmeno tra le cose che sono interessato a considerare, mi spiace.

Offline Flavio93Zena

  • Hero Member
  • *****
  • Post: 2972
  • Sesso: Maschio
  • Sniper Legends
    • Mostra profilo
    • Virtual Interactive Games Entertainment Forum
  • Versione SMF: 2.0.x
  • Versione ElkArte: 1.0.x
Re:Password hashing/SSL in 2.1?
« Risposta #5 il: Lunedì, 11 Gennaio 2016 23:22 »

 

password phpmyadmin

Aperto da TiMESezione Supporto Web

Risposte: 1
Visite: 891
Ultimo post Sabato, 23 Febbraio 2013 13:28
da TiME
Password non corretta

Aperto da inkscapeforumSezione SMF 2.0

Risposte: 16
Visite: 3040
Ultimo post Lunedì, 22 Dicembre 2014 00:02
da emanuele
ricorda password

Aperto da cartesioSezione Mods - Modifiche SMF

Risposte: 3
Visite: 447
Ultimo post Domenica, 25 Gennaio 2015 21:21
da cartesio