Foster
Staff
- Registrato
- 6/11/15
- Messaggi
- 9.202
- Punti reazioni
- 1.767
si nel tuo caso la riterrei "più robusta", che sicura, di tutte le altre.
FIX FORUM MANUTENZIONE - SEGNALAZIONI QUI
- Creatore Discussione Foster
- Data di inizio
si nel tuo caso la riterrei "più robusta", che sicura, di tutte le altre.
Due.Zero
Soppresso dallo Staff
- Registrato
- 18/8/12
- Messaggi
- 47.296
- Punti reazioni
- 2.908
Si in effetti l'ho fermato perchè sfarfallava troppo.
Due.Zero
Soppresso dallo Staff
- Registrato
- 18/8/12
- Messaggi
- 47.296
- Punti reazioni
- 2.908
si robusta è il temine più corretto
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
Che piaga che le notifiche di questo thread non mi arrivano e mi perdo i post...
Comunque, per capirci, la notifica appare eventualmente solo ad un prossimo login o apparirebbe anche nel caso si abbiano le credenziali memorizzate nel browser? Perché io non faccio il login/logout tutte le volte...
Magari dirò una sciocchezza, non sono un esperto del settore, ma mi pare molto strano che una "rappresentazione" criptata possa essere confrontata con altre che rappresentano le password più comuni... Anche perché se la rappresentazione criptata corrisponde ad una precisa password viene meno proprio il senso della crittografia (se A, criptato, viene rappresentato con Z, una volta fatta la traduzione crolla tutta la crittografia).
ortis
Tempus Fugit
- Registrato
- 27/2/06
- Messaggi
- 9.960
- Punti reazioni
- 4.099
Non è un banale sistema a sostituzione. Ma è una "firma" generata con un "seme" (la password)
Come questo (roba antica): MD5 - Wikipedia
O questo: SHA-2 - Wikipedia
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
Ripeto, non sono un esperto del settore, ho fatto un esempio banale dicendo sostituzione (che poi è il primo esempio di crittografia primordiale, vedi cifrario di Cesare) ma vado per logica: se una rappresentazione criptata può essere confrontata in modo da associare ad ogni rappresentazione una determinata password, dove sta il senso della crittografia?
JohannesBrahms
BRHJNN33E07Z112N
- Registrato
- 30/11/13
- Messaggi
- 11.761
- Punti reazioni
- 3.654
Se usi sha1 (o md5), dalla password puoi risalire al codice, ma non viceversa. Per esempio:
Codice:
[JohannesBrahms@localhost ~]$ echo -n ciao | md5sum
6e6bc4e49dd477ebc98ef4046c067b5f -
[JohannesBrahms@localhost ~]$ echo -n password | md5sum
5f4dcc3b5aa765d61d8327deb882cf99 -
[JohannesBrahms@localhost ~]$Quindi, in un database non va memorizzata la password (per esempio, "ciao"), ma la sua codifica ("6e6bc4e49dd477ebc98ef4046c067b5f").
Se calcoli il codice associato alla password quando l'utente si logga, e coincide con "6e6bc4e49dd477ebc98ef4046c067b5f", validi il login.
Ma puoi provare un attacco brute-force (come se fossi un hacker), cercando se, tra le codifiche memorizzate, c'è "6e6bc4e49dd477ebc98ef4046c067b5f2", che tu sai essere la codifica di "ciao", nel qual caso puoi scoprire che la password è debole.
Praticamente cerchi nel database le codifiche di password banali come "ciao", "password", "123456", e così via.
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
Grazie mille per la tua spiegazione johannes. Ma quello che volevo dire è che se "6e6bc4e49dd477ebc98ef4046c067b5f2" è la codifica di "ciao", ho stabilito l'esatta corrispondenza tra "ciao" e la sua "rappresentazione" criptata. Non è questo forse un sistema a sostituzione?
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
Comunque credo di aver capito la logica, un ipotetico hacker (quindi in questo caso il sistema implementato sul FOL) deve aver prima codificato un insieme di psw ritenute banali, costruito un database, e poi confrontare tali codici. Ne deriva che, banalmente, se si è dimenticato di inserire nel database per il confronto una password banale come ad esempio "nomedatadinascita", ecc... una password effettivamente debole può non generare l'alert.
Diversamente, se la funzione di controllo password venisse fatta "al volo" come ad esempio da un plugin del browser o qualsiasi altro sistema che non preveda una memorizzazione e confronto in remoto, si avrebbe l'esatta contezza della robustezza, perché mentre la si digita vengono immediatamente confrontati i parametri (ad esempio lunghezza, presenza di numeri, caratteri speciali, ecc..).
È sbagliato questo mio ragionamento?
Diversamente, se la funzione di controllo password venisse fatta "al volo" come ad esempio da un plugin del browser o qualsiasi altro sistema che non preveda una memorizzazione e confronto in remoto, si avrebbe l'esatta contezza della robustezza, perché mentre la si digita vengono immediatamente confrontati i parametri (ad esempio lunghezza, presenza di numeri, caratteri speciali, ecc..).
È sbagliato questo mio ragionamento?
Ultima modifica:
JohannesBrahms
BRHJNN33E07Z112N
- Registrato
- 30/11/13
- Messaggi
- 11.761
- Punti reazioni
- 3.654
No, l'hacker non deve codificare nulla, prova direttamente "ciao", È il nostro @Foster che prova la codifica di ciao per capire chi ha una password banale.
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
Sì sono stato impreciso, ovviamente l'hacker non ha bisogno di provare le psw codificate, come anche noi quando facciamo l'accesso non mettiamo certo la psw codificata... Ma dico, in questo modo il sistema dovrebbe appunto confrontare un database precedentemente costruito di password codificate e ritenute deboli. Perciò se Foster si dimentica di codificare ed inserire nel database per il confronto ad esempio "ciao", chi ha "ciao" come password potrebbe non vedersi notificato l'avviso di password debole. O sbaglio?
JohannesBrahms
BRHJNN33E07Z112N
- Registrato
- 30/11/13
- Messaggi
- 11.761
- Punti reazioni
- 3.654
Più o meno è così, ma mica inserisci a mano una per una le password che ritieni deboli; penso che esistano dei database e/o degli algoritmi già pronti...
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
Ovvio che non viene fatto manualmente, lo davo per scontato
Mi focalizzavo sul concetto: un database "predittivo" è per definizione incompleto, per cui questo criterio non è a mio avviso efficiente; diversamente, se si utilizzasse un sistema che al volo ed in tempo reale ti segnala che la tua password è debole/forte (esattamente come avviene per diversi siti, come ad esempio una nuova casella email, al momento della generazione credenziali) la cosa avrebbe un senso.
The Observer
Apri la mente, o qlc potrebbe aprirla al posto tuo
- Registrato
- 3/2/16
- Messaggi
- 458
- Punti reazioni
- 35
Ehm...un altro argomento.
Sempre a fini migliorativi, pregherei cortesemente di valutare la possibilità di inserire nel forum, in alto a dx o in basso a sinistra o dove ritenete, un menu a tendina con la possibilità di andare più rapidamente sui vari thread ( link a tutti i titoli principali, tipo "Mercato italiano", "AIM Italia", ecc.), invece di dover tornare ogni volta sulla home page per poter cambiare thread, procedura più macchinosa, ripetitiva e noiosa. Thank.
Sempre a fini migliorativi, pregherei cortesemente di valutare la possibilità di inserire nel forum, in alto a dx o in basso a sinistra o dove ritenete, un menu a tendina con la possibilità di andare più rapidamente sui vari thread ( link a tutti i titoli principali, tipo "Mercato italiano", "AIM Italia", ecc.), invece di dover tornare ogni volta sulla home page per poter cambiare thread, procedura più macchinosa, ripetitiva e noiosa. Thank.
Ultima modifica:
JohannesBrahms
BRHJNN33E07Z112N
- Registrato
- 30/11/13
- Messaggi
- 11.761
- Punti reazioni
- 3.654
Già che ci siamo, altra proposta: quando si vuole inserire un allegato, si apre direttamente la finestra per sceglierlo dal proprio computer, anche se si vuole inserire files già allegati ad altri messaggi, costringendo ad andare prima nel proprio profilo, cercare l'allegato, scaricarlo sul proprio PC, per poi allegarlo al nuovo messaggio. Trovo il tutto un po' troppo elaborato. Si può implementare qualcosa di più diretto?
cavallone
Nuovo Utente
- Registrato
- 7/2/20
- Messaggi
- 1.501
- Punti reazioni
- 291
Esatto, condivido se sia possibile migliorare la procedura,
ne avevano già parlato qualche giorno addietro,
ma non era stato dato molto peso a questa questione
Oppure,come già suggeriva qualcuno,
copiarsi l'Url di quel Allegato,
ed inserirlo come Link
allo stesso modo se si trovasse in Oceania o NuovaZelanda...
Nel vecchio forum precedente, non ricordo bene, ma mi sembarva fosse più semplice
money4nothing
Nuovo Utente
- Registrato
- 9/9/06
- Messaggi
- 6.960
- Punti reazioni
- 3.791
Perche' scaricarlo nuovamente? Se copi la url dalla miniatura degli allegati non puoi mettere quella?
Foster
Staff
- Registrato
- 6/11/15
- Messaggi
- 9.202
- Punti reazioni
- 1.767
L'ho chiesto ma è in coda di valutazione. Richiederebbe uno sviluppo custom nel core di xenforo. Tocca attendere che mi diano risposta.
Foster
Staff
- Registrato
- 6/11/15
- Messaggi
- 9.202
- Punti reazioni
- 1.767
riallegare un allegato già allegato altrove? equivale a dire invio la stessa immagine (ad esempio un grafico o una tabella) in più discussioni... sicuro?
Comunque no, non è proprio contemplato in xenforo un File -> pesca dai tuoi allegati.
Foster
Staff
- Registrato
- 6/11/15
- Messaggi
- 9.202
- Punti reazioni
- 1.767
Come si chiamava nel vecchio forum quel bottone?