Critiche al mio sistema di autenticazione e sicurezza sessioni

Tig

il 23 mag 2023, 20:05

12 risposte

Tig

Pochi posts

Iscritto da: gen, 2023

Messaggi:: 27

Critiche al mio sistema di autenticazione e sicurezza sessioni

23 mag 2023, 20:15

Salve a tutti.

Volevo sottoporre alle vostre critiche il mio sistema di autenticazione e sicurezza sessioni, per poterlo eventualmente migliorare.

A quali vulnerabilità potrebbe essere soggetta?

Vi ringrazio per la collaborazione

https://nopaste.ml/?l=php#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

12 Risposte

Toki
Moderatore
Iscritto da
gen, 2001
Messaggi:
3836
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
23 mag 2023, 20:25
Ma non potevi semplicemente incollare il codice nel post, anziché mettere questo lunghissimo link esterno?
T
Tig
Pochi posts
Iscritto da
gen, 2023
Messaggi:
27
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
23 mag 2023, 20:36
E quando metto il codice qua mi dite che è troppo lungo e di usare nopaste, adesso che ho usato il nopaste mi dite che è troppo lungo il link :D
Però è uscito lungo ma in una sola riga… almeno quello.
Comunque ho scritto un complesso e sofisticato di sistema di sicurezza, un po' complesso da capire
Toki
Moderatore
Iscritto da
gen, 2001
Messaggi:
3836
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
23 mag 2023, 20:44
No, il metodo corretto è postare il codice e formattarlo col pulsante specifico per il codice presente nella toolbar dell'editor.
M
migliorabile
Super Famoso
Iscritto da
apr, 2013
Messaggi:
5866
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 05:48
Il tuo sistema di sicurezza e' un “colabrodo” ;-)
```
$key = "my_secret_key";
```
NON SI METTE la password nel codice.
Fai una ricerca in Internet su “buone pratiche per realizare una pagina di Login”: net trovi a “camionate”.
Se lo scrivi in inglese, ne trovi a tonnellate.
Cerca qualche buon libro.
NON INVENTARTI qualcosa che esiste ed e' stato migliorato negli ultimi 60 anni.
Alka
Utente Famoso
Iscritto da
nov, 2014
Messaggi:
3075
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 09:13
23/05/2023 - Tig ha scritto:
E quando metto il codice qua mi dite che è troppo lungo e di usare nopaste, adesso che ho usato il nopaste mi dite che è troppo lungo il link :D
Probabilmente, la questione è che il codice è troppo lungo. Se per esporre un problema non è sufficiente riportare un singolo stralcio esemplificativo di codice, vuol dire che l'analisi deve estendersi a parti di codice non rilevanti o correlate, e ciò può essere sintomo di due fatti: 1) il codice è scritto male e/o 2) non è possibile isolare il problema in quel punto, quindi è richiesta una analisi più approfondita che forse non va fatta su un forum.
23/05/2023 - Tig ha scritto:
Comunque ho scritto un complesso e sofisticato di sistema di sicurezza, un po' complesso da capire
Non so se il “complesso da capire” si riferisce al fatto che usa algoritmi particolari o semplicemente il codice non è fattorizzato e leggibile, ad ogni modo riportare una implementazione completa e chiedere commenti generici sulla sua robustezza può essere un lavoro lungo: ti si possono dare consigli “volanti”, come già fatto da qualcuno, ma mettersi a fare delle considerazioni più approfondite, testandolo efficacemente, impiegando tempo e conoscenze per la disamina, è più una cosa da “consulenza” che da aiuto sul forum.
Detto questo, condivido pienamente il suggerimento di usare tecniche già collaudate e opensource, senza inventarsene di proprie. :)
T
Tig
Pochi posts
Iscritto da
gen, 2023
Messaggi:
27
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 10:02
Non sono risposte molto costruttive sinceramente… dove la dovrei mettere la password? E come volersi connettere al database senza mettere da qualche parte nel codice i dati di accesso
Ma al di là di questo, sì, ci sono tante risorse su internet è vero… ma dire di fare una ricerca su internet perché si trovano risorse a camionate potrebbe essere la risposta a qualsiasi, o quasi, domanda si ponga al mondo…
“NON INVENTARTI qualcosa che esiste ed e' stato migliorato negli ultimi 60 anni.”
Se sono arrivato a un codice del genere è perché qualcosa me la sono guardata su internet…e non credo che il codice che ho scritto è vecchio di 60 anni…
Sarebbe stato più costruttivo andare più nel merito, ma daltronde è un forum, non si è mica tenuti a farlo…
T
Tig
Pochi posts
Iscritto da
gen, 2023
Messaggi:
27
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 10:14
Buongiorno Alka.
Sì, ovvio, va tutto contestualizzato, testato ecc
Si tratta infatti di avere consigli nei limiti di quanto in un forum si possa fare. È ovvio che è una porzione di codice, però devo dire la verità: non è un modo di porsi molto “didattico”.
Dire: “condivido pienamente il suggerimento di usare tecniche già collaudate e opensource, senza inventarsene di proprie” senza indirizzare qualcuno effettivamente verso una direzione, tipo “cerca questo, studia quest'altro” non è molto costruttivo.
Perché mi chiedo: quali sono queste tecniche già collaudate? Sono dei Framework? C'è anche da dire che io non voglio installare qualcosa di già pronto e alla fine non sapere effettivamente cosa sta facendo. Sbaglio io, ma c'è chi usa tutto già pronto, Wordpress ecc, tutto già pronto o quasi… io da quel punto di vista sono più purista. Mi piace scriverlo il codice, sapere le vulnerabilità che ha, cercare di risolverle, migliorare sempre di più il codice.
Mettendo anche il caso che uso tecniche già collaudate, a me piacerebbe capire cosa fanno nella pratica. Diversamente mettiamo tutto già pronto e via!
Infatti adesso tutte quelle società di web designer non sanno praticamente nemmeno più programmare, usano tutto già pronto, usano Wordpress, tutte cose già impostate ecc.
Sono andato presso questa ditta per chiedere il costo di un progetto di un sito web. Ho chiesto se programmavano in php, in javascript, in css, se usavano mysql. No zero, non erano addentro. Mi hanno fatto capire che non c'è bisogno, che ora si usano modelli già impostati, perché diversamente ci metterebbero secoli a fare un sito…
Mah… sbaglierò io…
Alka
Utente Famoso
Iscritto da
nov, 2014
Messaggi:
3075
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 11:08
24/05/2023 - Tig ha scritto:
Dire: “condivido pienamente il suggerimento di usare tecniche già collaudate e opensource, senza inventarsene di proprie” senza indirizzare qualcuno effettivamente verso una direzione, tipo “cerca questo, studia quest'altro” non è molto costruttivo.
Fammi capire: tu pubblichi un sistema di autenticazione completo e la “butti lì” letteralmente limitandoti a dire “ecco il mio codice, ditemi eventuali vulnerabilità”, e noi dovremmo fare un'analisi approfondita e suggerire tutte le risorse alternative che si possono utilizzare per non essere tacciati di scarsa disponibilità?
Tu non hai circostanziato la tua richiesta, ma sei stato nel generico, e pertanto risposte generiche avrai.
24/05/2023 - Tig ha scritto:
Mettendo anche il caso che uso tecniche già collaudate, a me piacerebbe capire cosa fanno nella pratica. Diversamente mettiamo tutto già pronto e via!
In tal caso, fai ricerche e approfondisci il codice già scritto. Nessuno ha detto che tu debba prendere soluzioni esistenti in modo passivo evitando di approfondirle. Tuttavia, come è già stato detto, è inutile sviluppare da zero oggi una soluzione che indirizzi problematiche risolte in modo mirato e specifico, e soprattutto testato in vari frangenti e molteplici scenari, da altre persone che hanno anche reso pubblico il proprio codice condividendolo proprio allo scopo di testarlo a fondo, su cui si basano una quantità pressoché infinita di software, dal più “scrauso” a quello più critico.
Ad esempio, perché la decisione di implementare un token personalizzato quando esiste già JWT, per dirne una?
24/05/2023 - Tig ha scritto:
Infatti adesso tutte quelle società di web designer non sanno praticamente nemmeno più programmare, usano tutto già pronto, usano Wordpress, tutte cose già impostate ecc.
Questo è tutto un altro paio di maniche, e non c'entra nulla col discorso fatto.
Ad esempio, nel tuo codice hai fatto uso di OpenSSL: perché non ti sei implementato da zero la funzionalità che assolve questa libreria? Ah, ma allora ti piace partire da qualcosa di già pronto…
La questione di imbastire modelli WordPress per i contenuti di un sito non ha nulla a che vedere con questo tema.
E in ogni caso, se un cliente mi chiede un sito formattato graficamente con possibilità di amministrazione tipiche di WordPress, gli installo e configuro WordPress, e non c'è nulla di male: ciò non è dovuto a pigrizia, ma al fatto che il tool assolve perfettamente alle necessità e riduce il cosiddetto “Time To Market”.
24/05/2023 - Tig ha scritto:
Mi hanno fatto capire che non c'è bisogno, che ora si usano modelli già impostati, perché diversamente ci metterebbero secoli a fare un sito…
Appunto.
24/05/2023 - Tig ha scritto:
Sarebbe stato più costruttivo andare più nel merito, ma daltronde è un forum, non si è mica tenuti a farlo…
Anche nel tuo caso, come detto all'inizio, sarebbe stato costruttivo spiegare il codice che hai scritto, descrivere il sistema a cui hai pensato, in breve introdurre la discussione con una panoramica invece che con un “ecco il codice, ditemi voi”, ribadisco.
Ma d'altronde hai ragione: non si è mica tenuti a farlo, e infatti non viene mai fatto per quanto mi riguarda.
T
Tig
Pochi posts
Iscritto da
gen, 2023
Messaggi:
27
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 13:07
Io non ho tacciato nessuno di scarsa disponibilità. Infatti ho detto che è un forum, non si è pagati mica per rispondere, e quindi non si è tenuti a farlo.
Laddove però uno risponde, ho solo criticato il modo di rispondere, perché non erano risposte generali in quanto domanda generale, ma risposte che sinceramente non aggiungono nulla
Tralasciamo il fatto che, come spesso accade, si è tanto bravi a programmare ma meno a insegnare, perché insegnare, tra le tante, significa anche, e soprattutto, ricordarsi da dove si è partiti. Giusto un po' per comprendere anche il prossimo, laddove magari nella sua poca conoscenza pone domande generali, domande sbagliate, codici poco leggibili ecc. sulle quali si può anche imparare a soprassedere perché non è grave, invece che o denigrare, o sfottere, o agire con supponenza.
Non credo che nessuno sia nato già “imparato”.
Non c'era nemmeno una pretesa di un'analisi approfondita.
Pensa che sarebbe bastato anche rispondermi con una riga sola, così come hai fatto, con scritto: “perché la decisione di implementare un token personalizzato quando esiste già JWT” che già lì avrei avuto quanto un meno un qualcosa di nuovo da cercare, sarebbe stata una direzione, generale sì, ma inerente, costruttiva. Certamente aggiunge qualcosa.
Eppure la tua è stata un'analisi approfondita? No. Come vedi non c'era nessuna necessità di un'analisi approfondita.
Certamente più utile di chi spende il proprio tempo a dire “Cerca su internet, comprati i libri” Grazie… se sono arrivato allo 0,0001 di conoscenza è proprio perché ho aperto lo 0,0001 di internet e di libri.
Allora rispondiamo a tutte le domande così: “Cerca su internet, ci sono argomenti a camionate”.
Spesso qua mancano proprio le basi del comportamento.
Alka
Utente Famoso
Iscritto da
nov, 2014
Messaggi:
3075
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
24 mag 2023, 14:25
24/05/2023 - Tig ha scritto:
Io non ho tacciato nessuno di scarsa disponibilità. Infatti ho detto che è un forum, non si è pagati mica per rispondere, e quindi non si è tenuti a farlo.
E pertanto, se non si è tenuti a farlo, non vedo perché fare della polemica a riguardo.
24/05/2023 - Tig ha scritto:
Laddove però uno risponde, ho solo criticato il modo di rispondere, perché non erano risposte generali in quanto domanda generale, ma risposte che sinceramente non aggiungono nulla
Ti è stato risposto sinteticamente che “non conviene reinventare la ruota”: è il migliore se non l'unico sensato dei suggerimenti che ti si possa dare. Poi se non ti piace, amen. Se le risposte non aggiungono nulla, amen.
Io ho risposto nel modo che ritenevo più opportuno data la richiesta di partenza.
Libero di criticare dando le tue motivazioni, io ti ho dato le mie. Fine.

Inutile insistere, visto che entrambi concordiamo che non vi sia nessuna garanzia a riguardo, né in quantità né in qualità, fermo restando che tu possa avere la tua personalissima opinione a riguardo, così come io ho la mia relativamente al modo in cui hai posto la questione.

Detto questo, basta, passiamo oltre. Inutile rimestare, tantomeno andare sul personale e lasciarsi andare a valutazioni personali su individui che non conosci.
24/05/2023 - Tig ha scritto:
Tralasciamo il fatto che, come spesso accade, si è tanto bravi a programmare ma meno a insegnare, perché insegnare, tra le tante, significa anche, e soprattutto, ricordarsi da dove si è partiti.
Sono perfettamente d'accordo. Il mestiere per cui mi pagano e ricercano di più, guardacaso, è la formazione, e questo non è l'unico spazio pubblico a cui partecipo. Se velatamente volevi intendere che non sono bravo a spiegare, di nuovo, ecco un suggerimento utile: evita di dare valutazioni su persone che non conosci, che non è educato.
24/05/2023 - Tig ha scritto:
Pensa che sarebbe bastato anche rispondermi con una riga sola, così come hai fatto […]
E' irrilevante ciò che bastava: il punto è che - almeno per quanto mi riguarda - finché non insulto né manco di rispetto a qualcuno, rispondo quando voglio e come voglio, anche perché non ho sempre lo stesso tempo a disposizione per analizzare il tutto ed essere dettagliato a riguardo, e quanto ho commentato riguardo la tua domanda è tutto ciò che pensavo in quel momento.
Quello che “basta” qualitativamente o quantitativamente lo decide al massimo un mio cliente, tu no.
E se la risposta è insufficiente, chiedi dettagli senza far polemica. E se invece non ti sta bene, sorvola e passa avanti, senza far polemica.
24/05/2023 - Tig ha scritto:
Allora rispondiamo a tutte le domande così: “Cerca su internet, ci sono argomenti a camionate”.
Non sono nato ieri, ho scritto diverse decine di migliaia di messaggi in svariati forum, compreso questo, e nessuno si è messo a fare la confusione che stai facendo tu. Poniti una domanda.
24/05/2023 - Tig ha scritto:
Spesso qua mancano proprio le basi del comportamento.
Concordo: c'è veramente gente che pretende cose assurde, lo fa pure insistentemente, e si permette di dare giudizi a persone che non conosce. Inaudito.
E con questo, da parte mia io chiudo la questione, e non la riapro più.
Buon lavoro!
T
Tig
Pochi posts
Iscritto da
gen, 2023
Messaggi:
27
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
25 mag 2023, 06:40
Guarda, ne stai facendo tu una tragedia greca sul nulla, oltre che sentirti toccato quando mi sto riferendo palesemente a qualcun altro (dato che sto citando).
E non sto giudicando una persona, sto giudicando la risposta. E semplicemente ho detto che ad una domanda, per quanto generale, stupida, insensata ecc, non puoi rispondere “cerca su internet”, perché allora rispondiamo così a tutto. Sempre che un forum possa servire intelligentemente a qualcosa…
Dire “cerca su internet”, “leggiti i libri” senza nemmeno dare una direzione, una parola chiave ecc per me non aggiunge nulla.
Rispondere anche solo con 2 parole, in modo telegrafico, “Studiati JWT” a parer mio aggiunge molto di più. Perché almeno uno va, cerca jwt, legge cosa è, e si fa una idea e passo dopo passo migliora la propria conoscenza.
Basta, tutto qua. A me sembra logico.
A te ho risposto solamente che non necessariamente serve una consulenza approfondita per rispondere utilmente ad una domanda tipo la mia.
Tragedie sul nulla. Km di post, e alla fine la cosa più utile era una riga.
Toki
Moderatore
Iscritto da
gen, 2001
Messaggi:
3836
Re: Critiche al mio sistema di autenticazione e sicurezza sessioni
25 mag 2023, 07:27
Chiudo il thread.

Devi accedere o registrarti per scrivere nel forum

12 risposte