[eside-ghost] Autenticacion sin cifrar :S
ALi
osatien en gmail.com
Mar Ago 2 13:20:57 CEST 2011
..... la opcion barata va a ser habilitar el https .... ke tampoco es pa tanto
xk usar autenticacion en dos pasos .... creo que es demasiado para el
sistema .... aunke al final el https es eso .... pero negociando con
el servidor web ......
2011/8/2 David Santamaria <d.highwayman en gmail.com>:
> Si bueno, podrias hacer como se hace en otros protocolos (creo que SIP
> lo hace, pero no estoy seguro si lo copia a HTTPS o a otros).
> A la hora de la autenticacion mandas un _reto_ (ejemplo, una cadena de
> 10 caracteres) , el cliente usa esa cadena sumada a su password
> (hasheadas) para autenticarse, asi consigues que el hash que se
> transmite sea diferente cada vez, y solo valga para autenticarse como
> respuesta a ese reto.
> Luego haces que el reto caduque, de esta manera tu autenticacion esta
> libre de "gente escuchando" el *unico* problema es para los ataques
> Man in the middle que entonces podrian autenticarse por ti, pero
> necesitas algo tan complejo?
> Un saludo.
>
> El día 2 de agosto de 2011 13:05, Sergio Blanco Diez
> <crimsomshadow en gmail.com> escribió:
>> Eso no es suficiente porque cualquiera podria usar los hashes trazados para
>> autenticarse.
>>
>> La movida es que https te lo da ya hecho, sino una idea es que tendrias que
>> ampliar el servicio y que este mantenga un id de sesion o transaccion con
>> cada cliente. Cada cliente debe pedir un id, negociar de forma implicita
>> algoritmos y claves de cifrado y a partir de ahi trabajar sobre eso.
>>
>> Un saludo!
>>
>> El 02/08/2011 13:00, "David Santamaria" <d.highwayman en gmail.com> escribió:
>>> Quizas no sea lo mas seguro, pero te has planteado "hashear" esas
>>> claves, y solo pasas por red los hashes en la autenticacion?
>>> Un saludo.
>>>
>>> El día 2 de agosto de 2011 12:32, ALi <osatien en gmail.com> escribió:
>>>> Egunof,
>>>>
>>>> Como cifrar la autenticacion de una aplicacion (servicio web), para
>>>> que esta no envie las contraseñas en claro ..... es decir que alguien
>>>> maligno no pueda cogerlo por la red y autenticarlo ..... si no se usa
>>>> https ......
>>>>
>>>> no hay forma no? habria que implementar un algo para cifrar las
>>>> comunicaciones.
>>>>
>>>> Mucho tiempo sin pensar en seguridad hacen estas cosas .....
>>>>
>>>> Saludos
>>>> _______________________________________________
>>>> eside-ghost mailing list
>>>> eside-ghost en listas.deusto.es
>>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>>>
>>>
>>>
>>>
>>> --
>>> David.
>>> _______________________________________________
>>> eside-ghost mailing list
>>> eside-ghost en listas.deusto.es
>>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>
>
>
> --
> David.
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
Más información sobre la lista de distribución eside-ghost