Condividi:        

HTML - password x accedere a una pagina

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

HTML - password x accedere a una pagina

Postdi simò84 » 14/12/03 20:30

ciao raga volevo impedire l' accesso a una pagina web con una password, una semplicissima password di 6/8 caratteri testuali. posso farlo con Frontpage 2000? senza dirmi che è meglio Dreamweaver, che a mio parere è troppo accessoriato :evil:
ho provato ma mi dice: campo modulo... nome campo e valore.... insomma la password come la immetto? e vedo che dopo l inserimento, in anteprima appare invece di essere vuoto il modulo!
chi mi dice un passo-passo come fare???
grazie
simò84
Utente Senior
 
Post: 723
Iscritto il: 28/08/01 01:00
Località: Versilia

Sponsor
 

Postdi Triumph Of Steel » 14/12/03 23:16

ma il tuo spazio web supporta linguaggi tipi PHP, ASP ecc??
xchè altrimenti è facilmente bypassabile una pagina protetta da password in semplice HTML...
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi h23 » 14/12/03 23:35

Triumph Of Steel ha scritto:ma il tuo spazio web supporta linguaggi tipi PHP, ASP ecc??
xchè altrimenti è facilmente bypassabile una pagina protetta da password in semplice HTML...

gia' gia'...
tieni conto che ogni pass che imposti lato client (quindi, come gia' detto da Thor, in html, js e quant'altro) e' decisamente inconsistente (l'Hackme Challange te lo dimostra meglio di ogni altra cosa [hai provato a fare i primi livelli?]) semplicemente perche' la pagina che contiene il form per l'input deve necessariamente contenere la pass stessa (crittata o in chiaro) per poter effettuare il controllo ;)
Molto pero' dipende anche dal tipo di dati che devi proteggere...
"Noctis aeternae chaos, aversa superis regna manesque impios dominunque regni tristis et dominam fide meliore raptam, voce non fausta precor." (Seneca, Medea)
h23
Utente Senior
 
Post: 1349
Iscritto il: 16/12/02 17:30
Località: 404 - file not found

Postdi Dylan666 » 15/12/03 05:04

T traduco in italiano quello ke hanno cercato d dirti qualora fossi ai primi passi nell'HTML. Se vuoi scrivere una pagina con password usando solo una pagina HTM la password dovrà trovarsi nel codice d tale pagina, al massimo in un file d javascript allegato. In questo modo qualunque utente un minimo esperto facendo Visualizza> HTML (o salvando la pagina sul proprio PC /nel caso la psw fosse nel JS) può cercarsi la parola da immettere in mezzo al codice ke hai scritto (gli si possono complicare un po' le cose, ma veramente troppo poco x dikiararlo un metodo minimamente sicuro)

Invece usando linguaggi come il PHP (facilissimo da imparare) la password nn viene visualizzata nel codice della pagina ke appare al'utente. Il PHP però deve essere supportato da ki t offre lo spazio x il sito, xké ha bisogno d particolari file x poter funzionare (e anke x poterlo provare sul proprio PC).

Tutto kiaro? :D
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi simò84 » 15/12/03 21:04

ovviamente sono dati scemi, giusto x impedire ai miei prof di accedere alla pagina dedicata a loro (ma in negativo :D con citazioni e vizi)
I miei prof sono totalmente inesperti di informatica, sanno una s..... come si bypassa l'html
insomma, qualcuno mi vuol dire come si fa? si, sono alle prime armi e nn so neanche dove approfondire il linguaggio HTML, se qualcuno me lo volesse dire ... ;)
il mio server nn supporta PHP, ok??
allora, come la blocco 'sta pagina?? grazie
simò84
Utente Senior
 
Post: 723
Iscritto il: 28/08/01 01:00
Località: Versilia

Postdi h23 » 15/12/03 21:26

ok, io ti ho un esempio, ma tieni conto che CHIUNQUE potra' bypassarlo senza la minima difficolta'

file PaginaDiControllo.htm
Codice: Seleziona tutto
<html>
<head>

<script src="script.js">
</script>

<script>
function password() {
var verifica = window.promp('Inserire la password','');

if (verifica == pwd)
  {location.href="PaginaProtetta.htm";}
else
  {location.href="paginaDiErrore.htm";}
}
</script>

</head>

<body onload="password();">
<!-- contenuto pagina-->
</body>
</html>


file script.js
Codice: Seleziona tutto
var pwd = "MiaPassword"


N.B. Il codice l'ho scritto al volo e non l'ho testato.
Se ci dovessero essere dei problemi fai un fischio! ;)
"Noctis aeternae chaos, aversa superis regna manesque impios dominunque regni tristis et dominam fide meliore raptam, voce non fausta precor." (Seneca, Medea)
h23
Utente Senior
 
Post: 1349
Iscritto il: 16/12/02 17:30
Località: 404 - file not found

Postdi Dylan666 » 15/12/03 21:58

Un tocco un po' più professionale: la password digitata appare sotto forma di asteriski 8) :

Codice: Seleziona tutto
<html>
 
  <head>

    <script language="JavaScript">
      <!--
      function Controlla(passwd) {
        if (passwd =="Dylan.666") {
          alert("La password è giusta, stai per accedere all'area riservata");
          location.href = "passwordOK.htm";
        }
        else {
          alert("Password errata, non puoi accedere all'area riservata");
          location.href = "passwordERRATA.htm";
        }
      }
    </script>
 
  </head>
 
  <body >
  Inserisci la password per continuare:<br><br><br><form name="pass"><input type="password" name="txtpasswd" size="20">&nbsp;&nbsp;<input type="reset" value="click here to continue" onclick="Controlla(pass.txtpasswd.value)"></form>
 </body>

</html>


Ovviamente la parola d'ordine è Dylan.666 ;) Okkio alle maiuscole!
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 15/12/03 22:02

C'è una differenza sostanziale tra le 2 tecnike (oltre al discorso degli asteriski): nella prima, la password viene digitata direttamente nella pagina ke ha i contenuti da nascondere, mentre nella seconda vi si accede attraverso una pagina d accesso, ke indirizza o verso i contenuti oppure verso una pagina d errore (quindi in tutto ne devi creare 3 d file HTM)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 15/12/03 22:55

Mi correggo, in entrambi i casi devi fare 3 pagine :P (mannaggia alla fretta). Cmq x tutte e 2 le tecnike puoi mettere tutto il codice javascript in un file JS (xkè caro h23 mettere solo il "var"?) lasciando nella pagina HTM un riferimento al file, tipo:

Codice: Seleziona tutto
 <script src="script.js">
</script>


Nel file script.js copia quello ke c'è tra i tag <script language="JavaScript"> e <script> RIMUOVENDO quest'ultimi

Scusate x questo mio periodo d post d correzione e aggiunte uno di seguito al'altro... :lol: :oops:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi h23 » 15/12/03 23:07

Dylan.666 ha scritto:xkè caro h23 mettere solo il "var"

e' molto semplice.
il lamerazzo alle prima armi apre il sorgente e, se non vede niente che parli di pass, intuisce che ci sia un file esterno.
Se, invece, tu gli piazzi il riconoscimento in chiaro, stai pur certo che perdera' la maggior parte del suo tempo cercando la variabile pwd all'interno della pagina di verifica.
Naturalmente questa non e' una protezione effettiva in piu', e' solo un tocco d'astuzia ;)
Inoltre io eviterei il form.
Ancorche' possa risultare piu' professionale la comparsa degli asterischi, la concomitanza della password in chiaro nel sorgente e la possibilita' di visualizzare il codice senza difficolta', rendono la vita molto piu' facile al lamer di turno.
Col mio metodo, invece, il nostro cracker-scamuffo prima dovra' penare per poter visulizzare l'html e poi per capire dove sia la variabile che si riferisce alla pass vera e propria :diavolo: :diavolo: :diavolo:
"Noctis aeternae chaos, aversa superis regna manesque impios dominunque regni tristis et dominam fide meliore raptam, voce non fausta precor." (Seneca, Medea)
h23
Utente Senior
 
Post: 1349
Iscritto il: 16/12/02 17:30
Località: 404 - file not found

Postdi pjfry » 15/12/03 23:31

non si trovano in giro funzioni hash in javascript? in fondo si tratta solo di permutazioni e poco +.... se lasci in chiaro solo l'hash la password è rintracciabile ma con mooooolta + fatica, no?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi h23 » 16/12/03 00:18

pjfry ha scritto:se lasci in chiaro solo l'hash la password è rintracciabile ma con mooooolta + fatica, no?
purtroppo no.
per quanto complesso possa essere il procedimento di crittazione, se la pagina e' solo in html, la pag stessa conterra' la soluzione.
Mi spiego con un esempio
Metti che
Codice: Seleziona tutto
decrittazione(valore);

sia una funzione che, dato un hash, ne restituisca il valore in chiaro dopo un numero n di permutazioni.
Il fatto che ci sia una funzione di decrittazione e non di crittazione e' determinato dalla nostra volonta' di far apparire sulla pagina web l'hash, e non la stringa in chiaro.

Citero', per rendere la comprensione piu' chiara, uno script simile (ma non troppo, onde evitare aiuti illegali ;) ) ad un livello dell'hackme challange.
In buona sostanza si tratta dell'algoritmo di Cesare

listato 1
Codice: Seleziona tutto
<html>
<script language="Javascript">
var hash = "[%&cTffjbeW"
   chiaro='';
   for(i=0;i<hash.length;i++) {
      n=hash.charCodeAt(i);
      if (n>=8364) {
         n = 128;
      }
      chiaro += String.fromCharCode( n + 13 );
   }
</script>
</html>

Per poter far funzionare il mio controllo, dovro' creare un confronto del tipo

listato 2
Codice: Seleziona tutto
var input = window.prompt('inserisci password','');
if (input == chiaro)
 {location.href="ok.htm";}
else
 {location.href="bad.htm";}

Fin qui dovrebbe essere tutto chiaro (spero :P )
Riepilogando: la pass vera e propria compare solo come hash e deve essere confrontata con quella inserita dall'utente.

Mediante il "listato 2" riesco a rendere in chiaro la pass corretta (presente sotto forma di hash) per poterla confrontare, tutto cio' senza che l'utente che sta visualizzando la pagina possa accorgersi di niente.

Ma mettiamo il caso che l'utente sia smaliziato e leggermente abile...
cosa fara'?
salvera' la pagina sul suo hd e inserira' un comando del tipo
Codice: Seleziona tutto
document.write(chiaro);

e, come per magia, otterra' la password in chiaro usata per il confronto (che nella pagina originale, naturalmente, non compariva!)

il codice, come al solito, l'ho scritto al volo, ma dovrebbe funzionare.
Se qualcuno ne ha voglia, lo testi e mi faccia sapere.

IMPORTANTE!!!
@ Damianomx
Paroloni a parte, non ti confondere le idee.
Questa e' stato solo una disquisizione teorica con Pj sull'affidabilita' di alcuni tipi di crittazione che sembrano sicuri ma non lo sono.
Magari tra qualche tempo, quando ti sarai impratichito con l'html e il js, torna su queste pagine cosi' potrai capire quello di cui stavamo parlando.
Resta il fatto che, per l'uso che ne devi fare, gli esempi postati da Dylan e me dovrebbero andare piu' che bene ;)
"Noctis aeternae chaos, aversa superis regna manesque impios dominunque regni tristis et dominam fide meliore raptam, voce non fausta precor." (Seneca, Medea)
h23
Utente Senior
 
Post: 1349
Iscritto il: 16/12/02 17:30
Località: 404 - file not found

Postdi h23 » 16/12/03 00:21

OOOOPPSSS :oops:
la stanchezza (e la vecchiaia ;) ) giocano brutti scherzi.
Sotto la voce "importante" dovevo indirizzare il messaggio a simò84 e non a Damianomx
sorry 8)
"Noctis aeternae chaos, aversa superis regna manesque impios dominunque regni tristis et dominam fide meliore raptam, voce non fausta precor." (Seneca, Medea)
h23
Utente Senior
 
Post: 1349
Iscritto il: 16/12/02 17:30
Località: 404 - file not found

Postdi pjfry » 16/12/03 00:29

non mi torna... se io ho una funzione md5() che restituisce l'hash, posso fare un controllo del tipo
Codice: Seleziona tutto
if (md5(password_inserita)=password_hash) then ok
else ....

quindi non vedo l'immediatezza che c'è nel tuo caso.. o no? ovviamente la password si recupera sapendo algoritmo e soluzione, ma essendo l'algoritmo asimmetrico ci vuole un brute force che se i bit della pw sono parecchi può durare un bel pò...
sbaglio?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi h23 » 16/12/03 00:40

pjfry ha scritto:non mi torna... se io ho una funzione md5() che restituisce l'hash, posso fare un controllo del tipo
Codice: Seleziona tutto
if (md5(password_inserita)=password_hash) then ok
else ....

hai ragione.
Non avevo pensato a questo tipo di controllo.
Se fosse possibile creare l'acesso di cui parli, la pagina potrebbe considerarsi abbastanza sicura...
la domanda e': esiste uno script in JS per la codifica in md5?
"Noctis aeternae chaos, aversa superis regna manesque impios dominunque regni tristis et dominam fide meliore raptam, voce non fausta precor." (Seneca, Medea)
h23
Utente Senior
 
Post: 1349
Iscritto il: 16/12/02 17:30
Località: 404 - file not found

Postdi Triumph Of Steel » 16/12/03 08:43

h23 ha scritto:la domanda e': esiste uno script in JS per la codifica in md5?


http://pajhome.org.uk/crypt/md5/

ciuz!
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi Dylan666 » 16/12/03 18:33

Susate ma, io già conosco prog ke fanno robe del genere cn interfaccia grafica (x quegli sfaticati a cui nn va nemmeno d scrivere i riferimenti nell'HTML e decidere la kiave :lol: ) Ma qui il punto è un'altro:

Ammesso ke si nasconda la kiave cn l'md5, rimangono in kiaro i riferimenti alle pagine d destinazione (cito quelo scritto da h23)

Codice: Seleziona tutto
var input = window.prompt('inserisci password','');
if (input == chiaro)
 {location.href="ok.htm";}
else
 {location.href="bad.htm";}


Quindi bisognerebbe fare uno script x criptare tutto l'altro script...
Cosa possibile, ma se lo script da oscurare nn è mooooooolto breve i tempi d risposta del browser diventano interminabili.
Ecco xké il metodo md5 javascript raramente viene usato senza il PHP o altro (vedi http://pajhome.org.uk/crypt/md5/chaplogin.html) ma a quel punto tanto vale usare l'md5 proprio del PHP :P

Dico bene ho mi sono perso qualcosa?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pjfry » 16/12/03 19:14

Dylan.666 ha scritto:Dico bene ho mi sono perso qualcosa?

si, l'italiano :lol: :lol:
1) è ovvio che lato server è meglio per forza, per una marea di motivi
2) quel discorso dell'href me l'ero chiesto anch'io... non avevo cercato una soluzione perchè mi ero fissato sulle password, ma effettivamente mi sembrava un bel problema... si potrebbe criptare quello giusto usando la password come chiave? :undecided:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Dylan666 » 16/12/03 19:23

Ke p***e, alla fine o x interruzioni o per fretta faccio degli errori d battitura ke fanno pensare ke io sia immigrato in italia l'altroieri... :oops: :lol:

Cmq kissà se è possibile fare una cosa tipo "la pagina d desitnazione ha come nome password giusta+.HTML"

Potrei provare ma nn mi va d scrivere il codice :P e cmq c'è qualcosa ke concettualmente nn mi torna...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi pjfry » 16/12/03 19:54

torna... però diventa inutile sapere la password... o cmq è equivalente a sapere l'indirizzo che poi non avrebbe altro tipo di controlli
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Prossimo

Torna a Software Windows


Topic correlati a "HTML - password x accedere a una pagina":

Password Imap (email)
Autore: lukarello7
Forum: Discussioni
Risposte: 8

Chi c’è in linea

Visitano il forum: Nessuno e 95 ospiti