[eside-ghost] Autenticacion sin cifrar :S
David Santamaria
d.highwayman en gmail.com
Mar Ago 2 13:27:13 CEST 2011
Eso era :) el Digest Auth, joer como ando de memoria ultimamentee.....
No me parece nada complicado de implementar, solo es añadir un paso
mas a la autenticacion que tendras ahora mismo :) Pero claro si
habilitas https perfecto, pero pensaba que esa no era una opcion :)
Un saludo.
El día 2 de agosto de 2011 13:21, Saúl Ibarra Corretgé
<saghul en gmail.com> escribió:
> 2011/8/2 David Santamaria <d.highwayman en gmail.com>:
>> Si bueno, podrias hacer como se hace en otros protocolos (creo que SIP
>> lo hace, pero no estoy seguro si lo copia a HTTPS o a otros).
>> A la hora de la autenticacion mandas un _reto_ (ejemplo, una cadena de
>> 10 caracteres) , el cliente usa esa cadena sumada a su password
>> (hasheadas) para autenticarse, asi consigues que el hash que se
>> transmite sea diferente cada vez, y solo valga para autenticarse como
>> respuesta a ese reto.
>> Luego haces que el reto caduque, de esta manera tu autenticacion esta
>> libre de "gente escuchando" el *unico* problema es para los ataques
>> Man in the middle que entonces podrian autenticarse por ti, pero
>> necesitas algo tan complejo?
>
> Lo que has comentado es el Digest Access Authentication
> (http://en.wikipedia.org/wiki/Digest_access_authentication) que se usa
> en HTTP y en SIP. Teniendo en cuenta que ya usa HTTP no lo veo tan
> overkill...
>
> --
> /Saúl
> http://saghul.net | http://sipdoc.net
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
--
David.
Más información sobre la lista de distribución eside-ghost