Nuova password

Fri Aug 11 16:38:30 CEST 2006
Fri Aug 11 16:38:30 CEST 2006 CoD
Nel mio solito giro bimestrale di cambio password (lo so sono paranoico) ho notato che questo forum ha qualche problema con la form "modifica profilo". La form infatti vi permette di specificare una password di MASSIMO 10 caratteri, mentre la normale casella in cui inserite la password per loggarvi e quella in cui vi siete registrati all'inizio permettevano password lunghe anche molto di piu' (le mie sono 15 caratteri ad esempio) Per cui se dopo aver cambiato password non vi fa piu' entrare, puo' darsi che sia perche' avete inserito una nuova password piu' lunga di 10 caratteri (che e' stata troncata in fase di salvataggio) e adesso state cercando di loggarvi inserendo la password per intero. Consigli: la cosa piu' semplice sarebbe rimouvere il blocco di massimo 10 caratteri dalla casella di modifica password, dopotutto il forum supporta anche password piu' lunghe. Se ormai l'avete cambiata per entrare scrivete solo i primi dieci caratteri e vedrete che funzionera'. Se proprio, come me, volete avere una password piu' lunga perche' vi da piu' sicurezza, potete sempre hackare un pochettino il forum e modificare la nuova password "on the fly" prima che venga inviata al server (stiamo parlando di tampering? Puo' darsi: qui lo dico e qui lo nego :p )
Fri Aug 11 18:05:45 CEST 2006 Jafar
CoD
Se proprio, come me, volete avere una password piu' lunga perche' vi da piu' sicurezza, potete sempre hackare un pochettino il forum e modificare la nuova password "on the fly" prima che venga inviata al server (stiamo parlando di tampering? Puo' darsi: qui lo dico e qui lo nego :p )
Ehm...si.....ecco >_< >_< >_< In porche parole? :lam: :lam: :lam:
Fri Aug 11 20:53:04 CEST 2006 T_Druid
Ma come... è una cosa facilissima... :| con parole più semplici di così non si può dire... >_> ps. poi cod, mi spieghi come fare? :)
Fri Aug 11 22:15:09 CEST 2006 CoD
No, non ve lo spiego, perché questa tecnica può essere utilizzata per danneggiare siti web e interi server inserendo delle injection dentro le richieste del browser. Comunque il tampering è la tecnica mediante la quale si intercettano le richieste inviate dal browser ad un sito, le si modificano e le si inviano solo dopo la modifica. In questo caso ho semplicemente aggiunto la parte della password che mancava. Immaginate quali danni si possono fare se il creatore del software non ha previsto dei controlli lato server.
Sat Aug 12 19:12:42 CEST 2006 T_Druid
ah, ho capito, so come funziona (anche se non sapevo che si chiamasse così). Ho fatto dei corsi a scuola sulla sicurezza e sulle reti, che trattavano queste tematiche... comunque concordo, se non ci sono controlli lato server, possono succedere pasticci!!! :tomb: