Wikipedia:Bar/Discussioni/Secure login
 | ||
| Secure login | NAVIGAZIONE | |
Lo sapevate? Quando fate login su Wikipedia, la vostra password viaggia in chiaro per tutta l'internet! Girellando ho trovato invece https://secure.wikimedia.org/wikipedia/it/wiki/Pagina_principale , che permette di accedere tramite SSL: la vostra password sarà quindi cifrata e non passerà in chiaro :) E se lo sapevate... meglio così. --Iron Bishop (¿?) 15:38, 7 mag 2007 (CEST)
- io non sono così paranoico. Il peggio che possa capitare è che qualcuno mi faccia diventare un utente problematico se mi carpisce la password, visto che quella per 'pedia la uso solo in tutti i progetti wiki... -- .mau. ✉ 15:40, 7 mag 2007 (CEST)
- Si, infatti, non è che sia un fatto così grave. --Fabexplosive L'admin col botto 15:47, 7 mag 2007 (CEST)
- Se qualcuno dovesse rubare una password di admin e avesse un bot potrebbe fare molti danni, sarebbe meglio che fosse utilizzato di default la cifratura per la password. Hellis 15:51, 7 mag 2007 (CEST)
- i danni degli admin sono rintuzzabili abbastanza facilmente... al limite si parte dai burocrati in su :-) -- .mau. ✉ 15:58, 7 mag 2007 (CEST)
- La possibilità di login protetto via SSL esiste da molto tempo, ma non è granché pubblicizzata perché è sperimentale e non grado di reggere un traffico consistente (si tratta di un solo server rispetto a qualche decina, tra l'altro con un certificato non riconosciuto in automatico dai browser). È senz'altro opportuno usarla in condizioni potenzialmente ostili, ma un uso generalizzato potrebbe rendere l'accesso un po' lento. A quanto pare, usare l'accesso SSL di default è un problema in termini di prestazioni (discussione su bugzilla:225; notare che il messaggio degli archivi di Wikitech-l è ora qui). --Lp ↤ 16:33, 7 mag 2007 (CEST)
- Questa funzione, di cui si era già un po' parlato, serve anche per utenze che condividono l'IP. Dovrebbe rendere univoco l'identificativo visibile dal CU. Non chiedetemi oltre, questo è quello che mi è stato spiegato ai tempi del caso boccia --JollyRoger ۩ lo sceriffo cattivo 17:36, 7 mag 2007 (CEST)
- francamente sapere che l'acceso che uso per wiki non è sicuro mi fa girare le palle; poi non capisco come mai se faccio il login attraverso il link segnato all'inizio, che dovrebbe essere sicuro, FF mi dice invece che no lo è è che le informazioni possono anche essere lette da terze persone, allora com'è che funziona la faccenda?PersOnLine 18:18, 7 mag 2007 (CEST)
- Il certificato non è firmato da un ente certificatore riconosciuto e quindi FF di dice che potrebbe non essere sicuro, ma non ti preoccupare è normale. Non usano un certificato firmato da un ente perché questo si farebbe pagare per il servizio, comunque usare un certificato autofirmato offre la stessa garanzia a meno che il sito non sia compromesso da un hacker. Hellis 18:50, 7 mag 2007 (CEST)
- Beh, non proprio la stessa garanzia... anche io posso generarmi un self signed certificate a nome della WMF, per essere davvero sicuro sarebbe necessario verificarne almeno il fingerprint prima di accettarlo. Comunque il certificato non è self signed, la certification authority usata è CAcert: offre servizi gratuiti, ma al momento non è ancora inclusa nei maggiori browser (e pare che non lo sarà ancora per qualche tempo), anche se alcuni sistemi operativi hanno deciso di aggiungerla nel loro percorso di certificazione. --Brownout(dimmi tutto) 19:47, 7 mag 2007 (CEST)
- Sono d'accordo che puoi generare il certificato, ma per metterlo sul sito devi forzarlo quindi il certificato è sicuro se il sito è sicuro. Hellis 19:50, 7 mag 2007 (CEST)
- Spoofing? DNS hijacking? MITM? Prima bisogna arrivarci al sito. --Brownout(dimmi tutto) 20:24, 7 mag 2007 (CEST)
- Sicuramente hai ragione, ma sono tecniche abbastanza avanzate, un hacker della domenica che sa usare uno sniffer di rete e poco più non ce lo vedo a compromettere un dns o il nodo di un provider. Hellis 20:38, 7 mag 2007 (CEST)
- È vero che le probabilità di brute force cracking delle password sono infinitamente maggiori, ma ad esempio mettere su un rogue access point è davvero alla portata di chiunque. Oops, ma stiamo divagando :) --Brownout(dimmi tutto) 20:59, 7 mag 2007 (CEST)
- Sicuramente hai ragione, ma sono tecniche abbastanza avanzate, un hacker della domenica che sa usare uno sniffer di rete e poco più non ce lo vedo a compromettere un dns o il nodo di un provider. Hellis 20:38, 7 mag 2007 (CEST)
- Spoofing? DNS hijacking? MITM? Prima bisogna arrivarci al sito. --Brownout(dimmi tutto) 20:24, 7 mag 2007 (CEST)
- Sono d'accordo che puoi generare il certificato, ma per metterlo sul sito devi forzarlo quindi il certificato è sicuro se il sito è sicuro. Hellis 19:50, 7 mag 2007 (CEST)
- Beh, non proprio la stessa garanzia... anche io posso generarmi un self signed certificate a nome della WMF, per essere davvero sicuro sarebbe necessario verificarne almeno il fingerprint prima di accettarlo. Comunque il certificato non è self signed, la certification authority usata è CAcert: offre servizi gratuiti, ma al momento non è ancora inclusa nei maggiori browser (e pare che non lo sarà ancora per qualche tempo), anche se alcuni sistemi operativi hanno deciso di aggiungerla nel loro percorso di certificazione. --Brownout(dimmi tutto) 19:47, 7 mag 2007 (CEST)
- Il certificato non è firmato da un ente certificatore riconosciuto e quindi FF di dice che potrebbe non essere sicuro, ma non ti preoccupare è normale. Non usano un certificato firmato da un ente perché questo si farebbe pagare per il servizio, comunque usare un certificato autofirmato offre la stessa garanzia a meno che il sito non sia compromesso da un hacker. Hellis 18:50, 7 mag 2007 (CEST)
- Scusate se mi intrometto: ci sarebbe qualche anima pia disposta a spiegarmi in italiano tutto quello che c'è scritto sopra? O magari soltanto se mi devo preoccupare delle mie password o no...--AnnaLety 20:27, 7 mag 2007 (CEST)
- Mettiamola così attualmente la password passa in chiaro su internet e quindi potrebbe essere intercettata da un hacker paziente. Il link iniziale cifra i dati rendendo molto difficile recuperare la password ma attualmente è una cosa sperimentale e quindi sarebbe meglio non usarla perché non è in grado di gestire molti utenti che si loggano contemporaneamente. Hellis 20:34, 7 mag 2007 (CEST)
- Grazie per la spiegazione, ora la faccenda mi è più chiara. ^_^ --AnnaLety 20:42, 7 mag 2007 (CEST)
- Mettiamola così attualmente la password passa in chiaro su internet e quindi potrebbe essere intercettata da un hacker paziente. Il link iniziale cifra i dati rendendo molto difficile recuperare la password ma attualmente è una cosa sperimentale e quindi sarebbe meglio non usarla perché non è in grado di gestire molti utenti che si loggano contemporaneamente. Hellis 20:34, 7 mag 2007 (CEST)
- Scusate se mi intrometto: ci sarebbe qualche anima pia disposta a spiegarmi in italiano tutto quello che c'è scritto sopra? O magari soltanto se mi devo preoccupare delle mie password o no...--AnnaLety 20:27, 7 mag 2007 (CEST)