• User

    [Sicurezza] Scrittura password su file

    Non avendo mai avuto a che fare con progetti tanto grandi da richiedere una significativa ottimizzazione del codice ai fini delle prestazioni raramente ho fatto ricorso ai database mysql.
    Per i progetti più piccoli dove è richiesto il login degli utenti ho sempre scritto il checksum della password su file (opportunamente catalogati, protetti, e correlati ai relativi username)

    Mi è sempre sembrata una soluzione "troppo artigianale", tuttavia chiedendo un po' in giro non sono emersi problemi di sicurezza, la maggior parte delle persone riportava come unico problema l'efficienza generale in termini di prestazioni, dovuto al tempo di accesso ai file e simili.

    Come la pensate voi? Pensate possano esserci problemi alla sicurezza di qualche natura o è solo un fatto di ottimizzazione e supporto? (tenendo conto che parliamo nell'ordine dei 100 utenti)


    giuseppemorelli 1 Risposta
  • Moderatore

    @Daniele_ ha detto in [Sicurezza] Scrittura password su file:

    estazioni raramente ho fatto ricorso ai database mysql.
    Per i progetti più piccoli dove è richiesto il login degli utenti ho sempre scritto il checksum della password su file (opportunamente catalogati, protetti, e correlati ai relativi username)

    Ciao
    come hai scritto già usi un metodo di Hash per criptare le password. Di che Cms parliamo? E se sono file e/o dati di che dati parliamo? Ogni utente ha i suoi dati o tutti accedono a tutto?


    D 1 Risposta
  • User

    @sermatica Non è un cms, è una piccola area riservata scritta da me, l'amministratore crea più accessi da assegnare a vari utenti e inserisce dei file nei rispettivi spazi. I file vengono cifrati in AES lato PHP con un hash basato sul nome utente.

    Quando si richiede un download lo script verifica che il file esista nella cartella relativa all'username dell'utente e se l'utente è correttamente loggato. Poi consente il download già decifrato. (Non manda un link al file ma direttamente il contenuto con i dovuti header)


  • Moderatore

    @sermatica ha detto in [Sicurezza] Scrittura password su file:

    si un metodo di Hash per criptare le password. Di che Cms parliamo? E se sono file e/o dati di che dati parliamo? Ogni u

    Ciao
    non dovresti avere problemi ma tutto è relativo al numeri di visite e all'affidabilità degli utenti.

    Es. potrebbero farti un attacco Dos, potrebbero essere finiti nella cache di Google i file ecc. ecc. Insomma le problematiche potrebbero essere molte.


  • Moderatore

    Ciao @Daniele_
    il "dove" vengono salvate (db o file) a mio avviso non è importante, il "come" fa la differenza.
    In caso di attacchi anche un database può essere vulnerabile tanto quanto un file.

    L'hashing per come è stato impostato è facilmente decifrabile perchè non usa la tecnica "salt".
    In pratica al dato va aggiunto questa "chiave salt" in modo tale che la decifratura non possa essere fatta (nel senso che se ci provi non troverai mai il valore originale)

    Qui una guida:

    https://auth0.com/blog/adding-salt-to-hashing-a-better-way-to-store-passwords/#:~:text=A cryptographic salt is made,compute them using the salts.

    Questa tecnica di fatto fa si che una volta cifrato il dato non possa più essere decifrato (nemmeno da te).
    Attenzione quindi perchè il dato originale non può essere recuperato (e per le password è giusto che sia così).

    Per quanto riguarda invece l'hashing dei file per il download l'attuale modalità secondo me va più che bene per l'uso che ne fai.