[eside-ghost] Autenticacion sin cifrar :S
Saúl Ibarra Corretgé
saghul en gmail.com
Mar Ago 2 13:21:03 CEST 2011
2011/8/2 David Santamaria <d.highwayman en gmail.com>:
> Si bueno, podrias hacer como se hace en otros protocolos (creo que SIP
> lo hace, pero no estoy seguro si lo copia a HTTPS o a otros).
> A la hora de la autenticacion mandas un _reto_ (ejemplo, una cadena de
> 10 caracteres) , el cliente usa esa cadena sumada a su password
> (hasheadas) para autenticarse, asi consigues que el hash que se
> transmite sea diferente cada vez, y solo valga para autenticarse como
> respuesta a ese reto.
> Luego haces que el reto caduque, de esta manera tu autenticacion esta
> libre de "gente escuchando" el *unico* problema es para los ataques
> Man in the middle que entonces podrian autenticarse por ti, pero
> necesitas algo tan complejo?
Lo que has comentado es el Digest Access Authentication
(http://en.wikipedia.org/wiki/Digest_access_authentication) que se usa
en HTTP y en SIP. Teniendo en cuenta que ya usa HTTP no lo veo tan
overkill...
--
/Saúl
http://saghul.net | http://sipdoc.net
Más información sobre la lista de distribución eside-ghost