Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
ASP.NET 2.0 / 3.5 / 4.0
Protezione sito web!?!
mercoledì 25 novembre 2009 - 13.56
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
sankyu
Profilo
| Senior Member
266
messaggi | Data Invio:
mer 25 nov 2009 - 13:56
Ciao a tutti è da un po che non mi collegavo per motivi di lavoro ora spero di essere più presente e di poter aiutare !
per ora questo è il mio problema:
Ho progettato un programma di autenticazione basato su di un'applicazione desktop che invia in modo cifrato i dati di cpu e hdd al sito web e questo autorizza o meno l'accesso tramite una seconda password da inserire via form.
Ora vorrei fare qualcosa di più semplice e veloce da utilizzare e senza installazione. Pensavo ad una chiavetta usb sulla quale salvare un certificato ed il software per la connessione in modo che vada in autorun e nel momento in cui l'utente inserisce la chiave parta l'applicativo.
ora iniziano le domande:
1-Esistono chiavette con un numero seriale univoco non riproducibile o non facilmente clonabili?
2-Esistono chiavette usb readOnly oppure scrivibili solo una volta in modo che l'utente non possa modificarne il contenuto?
3-Come lo leggo il numero seriale di una chiave usb sempre che questo esista?
4-Che metodo mi consigliate per passare i dati al web server? per ora uso una richiesta post ma pensavo di usare wcf o .net remoting su connessione ssl per evitare attacchi man in the middle.
5- avete qualche altra idea?
6-qualcuno ha mai usato i token tipo banca? sono molto costosi? sono difficili da implementare? avete qualche guida?
grazie per tutte le risposte in anticipo
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
mer 25 nov 2009 - 14:08
Ciao,
hai pensato alle usb con protezione hardware....costano poco e fanno ottimamanete il loro lavoro di protezione.
-Il Software da te creato funzionerebbe solo con la chiavetta inserita
-Autorun con windows 7 e con tutti coloro che lo disabilitano non funzionerebbe...quindi non so l'efficacia
-invio dati tramite RSA penso che sia il metodo piu sicuro
-il numero seriale della usb lo puoi leggere tramite le WMI
-puoi fare in modo che quando inserisci la chiavetta disabilita in scrittura la chaivetta tramite le chiavi di registro
Spero di esserti stato utile
ciaooo
sankyu
Profilo
| Senior Member
266
messaggi | Data Invio:
mer 25 nov 2009 - 15:21
riesci a darmi qualche info in più su queste usb hardware? esempi e siti dove poterle comprare? ma riesco a fare l'autenticazione web tramite queste? mi servirebbe riconoscere univocamente chi la usa su di un sito web e senza di questa impedirne l'accesso.
grazie
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
mer 25 nov 2009 - 15:27
http://www.progetti-hw-sw.it/chiaveusb.htm
questa e una ma c'e' ne sono altre. Giusto per farti un idea.
ciaooo
ASP 2.0 - VB 2008
sankyu
Profilo
| Senior Member
266
messaggi | Data Invio:
mer 25 nov 2009 - 15:51
ma mi pare che basti sniffare il traffico sulla porta com virtuale per capire la risposta della chiave ed emulare la porta per eluderla in passato mi è capitato di craccare un sw che usava una chiave hardware sulla porta parallela ed è stato piuttosto semplice dato che non devi modificare l'assembler del programma come in una crack via codice seriale da inserire nel software ma basta emulare la chiave. a me serve qualcosa tipo token usb della verisign o simili solo che nn li ho mai usati
nn vorrei rovinarti il lavoro ma uno sniffer usabile è
http://sourceforge.net/projects/usbsnoop/
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
mer 25 nov 2009 - 16:20
se vuoi metterla sul punto di sniffare o craccare allora possono anche craccare il tuo programma
. La sicurezza assoluta non esiste come ben sai poi non so anzi se trovi un metodo infallibile postalo che e interessante
ASP 2.0 - VB 2008
sankyu
Profilo
| Senior Member
266
messaggi | Data Invio:
mer 25 nov 2009 - 16:26
be non proprio il mio programma la chiave e cifrata in ssl 256 bit diciamo che ci vuole un po più di tempo. secondo me è incraccabile il token a tempo delle banche o per lo meno non saprei da dove iniziare, a parte questo se la chiave che mi hai postato usasse un certificato al posto di una pwd sarebbe l'ideale anche se dovrei cmq scrivermi il sw per interfacciarla con il mio server ma nn voglio usare activeX perche iExplorer mi sta sulle p---e
cmq grazie per le risposte!!
PS lo so hai pienamente ragione non c'è nulla di incraccabile!!! speriamo di non scatenare un flame pazzesco con questa discussione!!!
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
mer 25 nov 2009 - 16:40
non e per domaralizzarti pero' leggi il post
http://punto-informatico.it/2745367/PI/News/un-buco-ssl-scuote-rete.aspx
comunque non riesci a cifrare i dati prima del passaggio nella usb cosi lo sniff non puo nulla?
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !