Cookie sicuri e password


Di seguito la traduzione di un articolo di Ryan Boren su una delle principali novità di WP 2.4

WordPress 2.4 presenterà un nuovo formato per i cookie di autenticazione ed un nuovo algoritmo di password delle password. I cookie saranno basati sul protocollo sicuro per i cookie descritto qui. Il cookie è così strutturato :

nome utente|data scadenza|HMAC( nomeutente|data scadenza, k)
dove k = HMAC(nome utente|data scadenza, sk)
e dove sk è una chiave segreta

Il nuovo protocollo per i cookie permetterà di applicare la scadenza dal la server, invalidare tutti i cookie in massa ed offrire un alto livello di riservatezza. Si legga il Liu paper per i dettagli sul protocollo e si veda il ticket 5367 per dettagli sulla nostra implementazione del protocollo.

Contemporaneamente con i nuovi cookie, l’hashing dellae password verrà migliorato passando a phpass. Phpass fornisce una estensione e “salatura” delle password. Ciò rende la forzatura del’hash della vostra password tramite attacco brute-force impraticabile nel caso qualcuno avesse accesso al vostro database. Phpass è in fase di valutazione per il suo utilizzo da parte di Drupal e phpBB, si tratta di u buon auspicio per quegli integratori che desiderassero effettuare autenticazione su tutte queste applicazioni utilizzando una singola tabella utenti. Tuttavia, non sono sicuro di come cose tipo mod_auth_mysql si comportino con gli hash portatili generati da phpass. Nessuno ha esperienze a riguardo? Durante la migrazione del codice a phpass, abbiamo reso l’hashing delle password completamente “pluggable” per gli integratori che necessitassero di passare ad un differente sistema di hash. Speriamo che tutto funzioni bene con phpass.

I nuovi cookie ed hash sono ancora in sviluppo ma sono disponibili per dei test prendendo la versione  svn trunk. Non eseguite test su un blog di produzione in quanto per tornare ad una versione precedente sarà necessario ripristinare la tabella users da un backup per poter riavere i vecchi hash delle password.

Hai qualche Domanda o vuoi Commentare?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Archivi

Categorie