Re: R: Algoritmo il Javascript

On 24/09/2000 at 11:44 vecna wrote:

>	probabilmente, secure.html contiene la pagina originale da proteggere
>	precedentemente crittata con la password esatta, 
>	prende la key che gli viene passate come argomento e decritta la 
>	pagina che vuoi visualizzare, in questo modo la pass non e` scritta
>	in secure, ma in  secure c'e` l'html che vuoi proteggere crittato
>	e l'algoritmo di crittografia che usi

Esatto !!!!!

>	quindi e` possibile fare
>	bruteforce per scoprire la tua password

Il problema del bruteforce l'avevo gia previsto, e in un certo senso
l'avevo quasi risolto.
Metti  che uno si faccia un bel prg di bruteforce proprio per la mia
pagina, che passi tutte le possibili combinazioni al "secure.htm" e salvi
tutte le pagine ottenute in una dir. Otetrrebbe qualche migliaio di
"secure.htm" da controllare a mano, e ci metterebbe qualche mese a trovare
tutte le combinazioni. Perciò il bruteforce, anche con un prg multi-thread,
sarebbe lunghissimo.

>	o vedere se l'algo
>	che usi ha dei problemi gia` noti.

Per l'algoritmo avrei gia una idea che avevo trovato sul web. Era una
specie di DES credo, ma aveva qualche problema. Il problema è che di
javascript ne so poco, e non riuscirei a fare il porting dal visualbasic al
javascript

>> Il mio problema sono le funzioni matematiche. Cioè, lamatematica la so,
ma
>> non so implementarlo il javascript
>	e` molto semplice, gli array vengon supportati, il for(;;) lo usi
>	come se fosse C (bhe, magari non conosci il C ... ma e` semplice)

Il C lo conosco abbastanza bene.

>	gli operatori matematici sono supportati tutti ... per avere decenti
>	esempi javascript puoi far riferimento a www.html.it tra l'altro 
>	(non so se c'e` l'archivio on line) ma nella prima mail della 
>	mailing list venne distribuito un javascript per gestire il login
>	degli utenti (in quel caso la password era in chiaro dentro un file
>	.js che si puo` trovare comodamente nella cache del browser :)

Lo script di cui parli l'ho gia provato, ma ti sbagli. la password non era
in chiaro nel js. Era criptata.

>	sempre sul solito sito trovi ottima documentazione su javascript
>	e anche altri esempi.

Ci ho dato un'occhiata, ma non è che sia molto chiara (forse è una mia
impressione)

>	normalmente, per proteggere le proprie pagine cmq viene usata
>	una text box su cui tu inserisci una password (una password
>	che poi e` il nome della pagina esatta o dell'index nascosto
>	ecc....) il javascript dentro di lui attacca .html alla tua
>	stringa e chiama la pagina. se e` giusta la pagina la vedi,
>	se no ti becchi un messaggi di errore.
>	questa protezione non ha bisogno di codici crittati ne di 
>	password in chiaro.

Oddio, non è che sia il massimo della sicurezza questo metodo. Quello che
volevo implementare io era molto più sicuro. E poi se prima del codice di
decodifica ci metti

if (document.referrer != 'http://www.sito.com/login.htm') {
document.location='http://www.sito.com/login.htm
}

è ancora più sicuro.
E poi nella chace del browser rimane ancora la pagina cifrata, non il
risultato della decifrazione

>	tutto questo se ti limiti a javascript, potento disporre di
>	una minima cgi vai molto + sul sicuro.

Quello certamente, ma anche i CGI possono subire il bruteforce


Sono sikuro di non essere stato chiarissimo, e mi scuso

Ciao e grazie




--------------------------------------------------------------------------
informazioni sui comandi supportati da questa ml: http://www.sikurezza.org