HTML - password x accedere a una pagina

[simò84]

ciao raga volevo impedire l' accesso a una pagina web con una password, una semplicissima password di 6/8 caratteri testuali. posso farlo con Frontpage 2000? senza dirmi che è meglio Dreamweaver, che a mio parere è troppo accessoriato
ho provato ma mi dice: campo modulo... nome campo e valore.... insomma la password come la immetto? e vedo che dopo l inserimento, in anteprima appare invece di essere vuoto il modulo!
chi mi dice un passo-passo come fare???
grazie

[Triumph Of Steel]

ma il tuo spazio web supporta linguaggi tipi PHP, ASP ecc??
xchè altrimenti è facilmente bypassabile una pagina protetta da password in semplice HTML...

[h23]

ma il tuo spazio web supporta linguaggi tipi PHP, ASP ecc??
xchè altrimenti è facilmente bypassabile una pagina protetta da password in semplice HTML...

gia' gia'...
tieni conto che ogni pass che imposti lato client (quindi, come gia' detto da Thor, in html, js e quant'altro) e' decisamente inconsistente (l'Hackme Challange te lo dimostra meglio di ogni altra cosa [hai provato a fare i primi livelli?]) semplicemente perche' la pagina che contiene il form per l'input deve necessariamente contenere la pass stessa (crittata o in chiaro) per poter effettuare il controllo
Molto pero' dipende anche dal tipo di dati che devi proteggere...

[Dylan666]

T traduco in italiano quello ke hanno cercato d dirti qualora fossi ai primi passi nell'HTML. Se vuoi scrivere una pagina con password usando solo una pagina HTM la password dovrà trovarsi nel codice d tale pagina, al massimo in un file d javascript allegato. In questo modo qualunque utente un minimo esperto facendo Visualizza> HTML (o salvando la pagina sul proprio PC /nel caso la psw fosse nel JS) può cercarsi la parola da immettere in mezzo al codice ke hai scritto (gli si possono complicare un po' le cose, ma veramente troppo poco x dikiararlo un metodo minimamente sicuro)

Invece usando linguaggi come il PHP (facilissimo da imparare) la password nn viene visualizzata nel codice della pagina ke appare al'utente. Il PHP però deve essere supportato da ki t offre lo spazio x il sito, xké ha bisogno d particolari file x poter funzionare (e anke x poterlo provare sul proprio PC).

Tutto kiaro?

[simò84]

ovviamente sono dati scemi, giusto x impedire ai miei prof di accedere alla pagina dedicata a loro (ma in negativo con citazioni e vizi)
I miei prof sono totalmente inesperti di informatica, sanno una s..... come si bypassa l'html
insomma, qualcuno mi vuol dire come si fa? si, sono alle prime armi e nn so neanche dove approfondire il linguaggio HTML, se qualcuno me lo volesse dire ...
il mio server nn supporta PHP, ok??
allora, come la blocco 'sta pagina?? grazie

[h23]

ok, io ti ho un esempio, ma tieni conto che CHIUNQUE potra' bypassarlo senza la minima difficolta'

file PaginaDiControllo.htm

Codice: Seleziona tutto

<html>
<head>

<script src="script.js">
</script>

<script>
function password() {
var verifica = window.promp('Inserire la password','');

if (verifica == pwd)
  {location.href="PaginaProtetta.htm";}
else
  {location.href="paginaDiErrore.htm";}
}
</script>

</head>

<body onload="password();">
<!-- contenuto pagina-->
</body>
</html>


file script.js

Codice: Seleziona tutto

var pwd = "MiaPassword"

N.B. Il codice l'ho scritto al volo e non l'ho testato.
Se ci dovessero essere dei problemi fai un fischio!

[Dylan666]

Un tocco un po' più professionale: la password digitata appare sotto forma di asteriski :

Codice: Seleziona tutto

<html>
 
  <head>

    <script language="JavaScript">
      <!--
      function Controlla(passwd) {
        if (passwd =="Dylan.666") {
          alert("La password è giusta, stai per accedere all'area riservata");
          location.href = "passwordOK.htm";
        }
        else {
          alert("Password errata, non puoi accedere all'area riservata");
          location.href = "passwordERRATA.htm";
        }
      }
    </script>
 
  </head>
 
  <body >
  Inserisci la password per continuare:<br><br><br><form name="pass"><input type="password" name="txtpasswd" size="20">&nbsp;&nbsp;<input type="reset" value="click here to continue" onclick="Controlla(pass.txtpasswd.value)"></form>
 </body>

</html>

Ovviamente la parola d'ordine è Dylan.666 Okkio alle maiuscole!

[Dylan666]

C'è una differenza sostanziale tra le 2 tecnike (oltre al discorso degli asteriski): nella prima, la password viene digitata direttamente nella pagina ke ha i contenuti da nascondere, mentre nella seconda vi si accede attraverso una pagina d accesso, ke indirizza o verso i contenuti oppure verso una pagina d errore (quindi in tutto ne devi creare 3 d file HTM)

[Dylan666]

Mi correggo, in entrambi i casi devi fare 3 pagine (mannaggia alla fretta). Cmq x tutte e 2 le tecnike puoi mettere tutto il codice javascript in un file JS (xkè caro h23 mettere solo il "var"?) lasciando nella pagina HTM un riferimento al file, tipo:

Codice: Seleziona tutto

 <script src="script.js">
</script>

Nel file script.js copia quello ke c'è tra i tag <script language="JavaScript"> e <script> RIMUOVENDO quest'ultimi

Scusate x questo mio periodo d post d correzione e aggiunte uno di seguito al'altro...

[h23]

xkè caro h23 mettere solo il "var"

e' molto semplice.
il lamerazzo alle prima armi apre il sorgente e, se non vede niente che parli di pass, intuisce che ci sia un file esterno.
Se, invece, tu gli piazzi il riconoscimento in chiaro, stai pur certo che perdera' la maggior parte del suo tempo cercando la variabile pwd all'interno della pagina di verifica.
Naturalmente questa non e' una protezione effettiva in piu', e' solo un tocco d'astuzia
Inoltre io eviterei il form.
Ancorche' possa risultare piu' professionale la comparsa degli asterischi, la concomitanza della password in chiaro nel sorgente e la possibilita' di visualizzare il codice senza difficolta', rendono la vita molto piu' facile al lamer di turno.
Col mio metodo, invece, il nostro cracker-scamuffo prima dovra' penare per poter visulizzare l'html e poi per capire dove sia la variabile che si riferisce alla pass vera e propria

[pjfry]

non si trovano in giro funzioni hash in javascript? in fondo si tratta solo di permutazioni e poco +.... se lasci in chiaro solo l'hash la password è rintracciabile ma con mooooolta + fatica, no?

[h23]

se lasci in chiaro solo l'hash la password è rintracciabile ma con mooooolta + fatica, no?

purtroppo no.
per quanto complesso possa essere il procedimento di crittazione, se la pagina e' solo in html, la pag stessa conterra' la soluzione.
Mi spiego con un esempio
Metti che

Codice: Seleziona tutto

decrittazione(valore);

sia una funzione che, dato un hash, ne restituisca il valore in chiaro dopo un numero n di permutazioni.
Il fatto che ci sia una funzione di decrittazione e non di crittazione e' determinato dalla nostra volonta' di far apparire sulla pagina web l'hash, e non la stringa in chiaro.

Citero', per rendere la comprensione piu' chiara, uno script simile (ma non troppo, onde evitare aiuti illegali ) ad un livello dell'hackme challange.
In buona sostanza si tratta dell'algoritmo di Cesare

listato 1

Codice: Seleziona tutto

<html>
<script language="Javascript">
var hash = "[%&cTffjbeW"
   chiaro='';
   for(i=0;i<hash.length;i++) {
      n=hash.charCodeAt(i);
      if (n>=8364) {
         n = 128;
      }
      chiaro += String.fromCharCode( n + 13 );
   }
</script>
</html>

Per poter far funzionare il mio controllo, dovro' creare un confronto del tipo

listato 2

Codice: Seleziona tutto

var input = window.prompt('inserisci password','');
if (input == chiaro)
 {location.href="ok.htm";}
else
 {location.href="bad.htm";}

Fin qui dovrebbe essere tutto chiaro (spero )
Riepilogando: la pass vera e propria compare solo come hash e deve essere confrontata con quella inserita dall'utente.

Mediante il "listato 2" riesco a rendere in chiaro la pass corretta (presente sotto forma di hash) per poterla confrontare, tutto cio' senza che l'utente che sta visualizzando la pagina possa accorgersi di niente.

Ma mettiamo il caso che l'utente sia smaliziato e leggermente abile...
cosa fara'?
salvera' la pagina sul suo hd e inserira' un comando del tipo

Codice: Seleziona tutto

document.write(chiaro);

e, come per magia, otterra' la password in chiaro usata per il confronto (che nella pagina originale, naturalmente, non compariva!)

il codice, come al solito, l'ho scritto al volo, ma dovrebbe funzionare.
Se qualcuno ne ha voglia, lo testi e mi faccia sapere.

IMPORTANTE!!!
@ Damianomx
Paroloni a parte, non ti confondere le idee.
Questa e' stato solo una disquisizione teorica con Pj sull'affidabilita' di alcuni tipi di crittazione che sembrano sicuri ma non lo sono.
Magari tra qualche tempo, quando ti sarai impratichito con l'html e il js, torna su queste pagine cosi' potrai capire quello di cui stavamo parlando.
Resta il fatto che, per l'uso che ne devi fare, gli esempi postati da Dylan e me dovrebbero andare piu' che bene

[h23]

OOOOPPSSS
la stanchezza (e la vecchiaia ) giocano brutti scherzi.
Sotto la voce "importante" dovevo indirizzare il messaggio a simò84 e non a Damianomx
sorry

[pjfry]

non mi torna... se io ho una funzione md5() che restituisce l'hash, posso fare un controllo del tipo

Codice: Seleziona tutto

if (md5(password_inserita)=password_hash) then ok
else ....

quindi non vedo l'immediatezza che c'è nel tuo caso.. o no? ovviamente la password si recupera sapendo algoritmo e soluzione, ma essendo l'algoritmo asimmetrico ci vuole un brute force che se i bit della pw sono parecchi può durare un bel pò...
sbaglio?

[h23]

non mi torna... se io ho una funzione md5() che restituisce l'hash, posso fare un controllo del tipo

Codice: Seleziona tutto

if (md5(password_inserita)=password_hash) then ok
else ....

hai ragione.
Non avevo pensato a questo tipo di controllo.
Se fosse possibile creare l'acesso di cui parli, la pagina potrebbe considerarsi abbastanza sicura...
la domanda e': esiste uno script in JS per la codifica in md5?

[Triumph Of Steel]

la domanda e': esiste uno script in JS per la codifica in md5?

http://pajhome.org.uk/crypt/md5/

ciuz!

[Dylan666]

Susate ma, io già conosco prog ke fanno robe del genere cn interfaccia grafica (x quegli sfaticati a cui nn va nemmeno d scrivere i riferimenti nell'HTML e decidere la kiave ) Ma qui il punto è un'altro:

Ammesso ke si nasconda la kiave cn l'md5, rimangono in kiaro i riferimenti alle pagine d destinazione (cito quelo scritto da h23)

Codice: Seleziona tutto

var input = window.prompt('inserisci password','');
if (input == chiaro)
 {location.href="ok.htm";}
else
 {location.href="bad.htm";}

Quindi bisognerebbe fare uno script x criptare tutto l'altro script...
Cosa possibile, ma se lo script da oscurare nn è mooooooolto breve i tempi d risposta del browser diventano interminabili.
Ecco xké il metodo md5 javascript raramente viene usato senza il PHP o altro (vedi http://pajhome.org.uk/crypt/md5/chaplogin.html) ma a quel punto tanto vale usare l'md5 proprio del PHP

Dico bene ho mi sono perso qualcosa?

[pjfry]

Dico bene ho mi sono perso qualcosa?

si, l'italiano
1) è ovvio che lato server è meglio per forza, per una marea di motivi
2) quel discorso dell'href me l'ero chiesto anch'io... non avevo cercato una soluzione perchè mi ero fissato sulle password, ma effettivamente mi sembrava un bel problema... si potrebbe criptare quello giusto usando la password come chiave?

[Dylan666]

Ke p***e, alla fine o x interruzioni o per fretta faccio degli errori d battitura ke fanno pensare ke io sia immigrato in italia l'altroieri...

Cmq kissà se è possibile fare una cosa tipo "la pagina d desitnazione ha come nome password giusta+.HTML"

Potrei provare ma nn mi va d scrivere il codice e cmq c'è qualcosa ke concettualmente nn mi torna...

[pjfry]

torna... però diventa inutile sapere la password... o cmq è equivalente a sapere l'indirizzo che poi non avrebbe altro tipo di controlli