[eside-ghost] Autenticacion sin cifrar :S
David Santamaria
d.highwayman en gmail.com
Mar Ago 2 13:12:59 CEST 2011
Si bueno, podrias hacer como se hace en otros protocolos (creo que SIP
lo hace, pero no estoy seguro si lo copia a HTTPS o a otros).
A la hora de la autenticacion mandas un _reto_ (ejemplo, una cadena de
10 caracteres) , el cliente usa esa cadena sumada a su password
(hasheadas) para autenticarse, asi consigues que el hash que se
transmite sea diferente cada vez, y solo valga para autenticarse como
respuesta a ese reto.
Luego haces que el reto caduque, de esta manera tu autenticacion esta
libre de "gente escuchando" el *unico* problema es para los ataques
Man in the middle que entonces podrian autenticarse por ti, pero
necesitas algo tan complejo?
Un saludo.
El día 2 de agosto de 2011 13:05, Sergio Blanco Diez
<crimsomshadow en gmail.com> escribió:
> Eso no es suficiente porque cualquiera podria usar los hashes trazados para
> autenticarse.
>
> La movida es que https te lo da ya hecho, sino una idea es que tendrias que
> ampliar el servicio y que este mantenga un id de sesion o transaccion con
> cada cliente. Cada cliente debe pedir un id, negociar de forma implicita
> algoritmos y claves de cifrado y a partir de ahi trabajar sobre eso.
>
> Un saludo!
>
> El 02/08/2011 13:00, "David Santamaria" <d.highwayman en gmail.com> escribió:
>> Quizas no sea lo mas seguro, pero te has planteado "hashear" esas
>> claves, y solo pasas por red los hashes en la autenticacion?
>> Un saludo.
>>
>> El día 2 de agosto de 2011 12:32, ALi <osatien en gmail.com> escribió:
>>> Egunof,
>>>
>>> Como cifrar la autenticacion de una aplicacion (servicio web), para
>>> que esta no envie las contraseñas en claro ..... es decir que alguien
>>> maligno no pueda cogerlo por la red y autenticarlo ..... si no se usa
>>> https ......
>>>
>>> no hay forma no? habria que implementar un algo para cifrar las
>>> comunicaciones.
>>>
>>> Mucho tiempo sin pensar en seguridad hacen estas cosas .....
>>>
>>> Saludos
>>> _______________________________________________
>>> eside-ghost mailing list
>>> eside-ghost en listas.deusto.es
>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>>
>>
>>
>>
>> --
>> David.
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
--
David.
Más información sobre la lista de distribución eside-ghost