Resultados 1 al 3 de 3

Tema: Mtodo de login seguro sin SSL

  1. #1 Mtodo de login seguro sin SSL 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicacin
    Spaa
    Mensajes
    5.050
    Descargas
    181
    Uploads
    247
    El objetivo de esta entrada es mostrar una manera de hacer un poco ms seguro el acceso a una aplicacin web (login) si sta no dispone de SSL (HTTPS).

    Para los que son duchos en la seguridad, puede que esto les pueda parecer simple, e incluso obvio, pero en muchas empresas de desarrollo de pginas web, ni se plantean lo peligroso que puede llegar a ser el envo de credenciales en claro a travs de Internet.

    Un problema que nos encontramos los que nos dedicamos al desarrollo de software, y en concreto de pginas web, suele ser que el cliente no quiere (o no puede) pagar un certificado de servidor para su portal. Lo que tampoco queremos es que nuestras contraseas vayan por la red en claro, siendo vulnerables a cualquiera que ande esnifando por la red. Supongo que existen varias soluciones a este problema, yo os voy a contar una que no es solucin y otra que es un poco mejor (en temas de seguridad nunca me atrevera a decir que es infalible, porque creo que nada lo es). Para los ejemplos voy a usar como usuario a bob y como contrasea bob123.

    Lo que NO es una solucin

    Si estis tratando de solventar este problema, probablemente os encontraris con sitios que os dicen que la solucin pasa por cifrar la contrasea con Javascript (aprovecho para recordar que el verbo encriptar no existe, y cada vez que alguien la usa se muere un gatito) justo antes de que el formulario se mande.


    Normalmente suelen decir que hagas un hash de la contrasea y as esta no viajar en claro por la red. Esto no es una solucin porque si yo soy un hacker maligno y consigo ver la comunicacin, no podr leer la contrasea bob123, pero si que ver 2acba7f51acfd4fd5102ad090fc612ee, que es el resultado de aplicar una funcin hash (md5) a bob123.
    La cosa es que a m, como atacante, me da lo mismo ver lo primero que lo segundo, ya que s que si mando la peticin de login a la pgina web poniendo como usuario bob y como contrasea 2acba7f51acfd4fd5102ad090fc612ee voy a poder acceder a la aplicacin (entindase que esto se realizar usando alguna herramienta de manipulacin de peticiones HTTP como burp o tamperdata etc). Adems, es muy comn que las contraseas en las bases de datos se guarden cifradas con este mismo mtodo (y el que las guarde en claro, tiene un problema muy grave), con lo que, en realidad, puede que lo que est viajando por la red sea la contrasea en si misma.

    Una posible solucin

    La solucin que creo ms segura es la de simular la conexin SSL mediante un par de claves pblica/privada por peticin. De esta manera el servidor mandar la clave pblica, que le servir al navegador para cifrar la informacin, y guarda la clave privada, que slo sirve para descifrar esa informacin. Para realizar esto haremos uso del Javascript de forma similar a la anterior. La diferencia es que esta vez cuando el cliente (navegador web) haga la peticin a la pantalla de login, el servidor generar un par de claves nuevas.

    Creo que es de buena praxis cifrar, adems de la contrasea, el nombre de usuario ya que contra menos pistas demos a los atacantes mejor. As pues, cada vez que le mandemos la informacin de acceso al servidor, sta ser diferente, y aunque vieran que el usuario es 0a42b6b9dcd569f990d y la contrasea es cde40f4ff73c5a24eb904, esto slo ser vlido una vez ya que a cada peticin el servidor nos manda una clave pblica distinta. Hay que tener mucho cuidado con esto, dado que si el servidor usa como semilla de generacin de claves algo obvio, como el tiempo, se podra mediante repetidas peticiones de la pgina de login, obtener el algoritmo que esta usando para generarlas y podra llegar a obtener la clave privada para una peticin y descifrar as la informacin

    Por Guillermo Mir en http://www.securityartwork.es/2012/0...eguro-sin-ssl/
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Colaborador HH
    Fecha de ingreso
    Jun 2006
    Ubicacin
    Uruguay
    Mensajes
    1.450
    Descargas
    11
    Uploads
    0
    No me quedo muy claro :S
    Louis Armstrong le dice a Ella Fitzgerald
    "take another drink of wine, and maybe you change your mind"
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Oct 2010
    Mensajes
    401
    Descargas
    24
    Uploads
    0
    Segun yo entendido, lo que se hace es emular un sistema de cifrado asimetrico, aunque no deja muy claro de que manera se generan las claves publicas y privada.
    Ren Prez Joglar: Pa' tener a un listo que no dice nada prefiero a un idiota que hable mucho.
    Citar  
     

Temas similares

  1. Metodo Crack WPA2
    Por nitch en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    ltimo mensaje: 13-04-2012, 02:45
  2. duda metodo
    Por 1fluke2 en el foro INGENIERIA INVERSA
    Respuestas: 0
    ltimo mensaje: 18-01-2011, 21:53
  3. Respuestas: 0
    ltimo mensaje: 18-03-2009, 20:15
  4. Falta mtodo de conservacin
    Por ABODUJANA en el foro OFF-TOPIC
    Respuestas: 1
    ltimo mensaje: 03-02-2008, 17:00
  5. Cuanto le quedara al metodo de las flores?
    Por PADAONE en el foro DIGITAL+
    Respuestas: 2
    ltimo mensaje: 11-05-2007, 20:00

Marcadores

Marcadores

Permisos de publicacin

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •