Programar un cifrado de una clave
Publicado por Victor (1 intervención) el 27/12/2007 01:36:14
Es para programadores...
¿Para qué me he estado molestando en seguir el script de "Autentificator" creado por Cluster si él guarda las claves en formato md5() pero se envían desde el cliente al servidor en texto plano?
Es decir, ¿de qué me sirve guardar algo cifrado si se retransmite libre.
Después, me quedé pensando y puedo aprovechar un programa JAVA para cifrar en origen la clave y mandarla en ese mismo formato (por ejemplo) a través del puerto 80 y ya en destino se compara sin convertirla ya a md5().
Pero claro, esto ¡¡¡TAMPOCO SIRVE DE NADA!!! pues aunque la retransmisión esté cifrada, si me cogen la clave en md5 o sha1, crypt, rsa etc... SIEMPRE y digo SIEMPRE me pueden interceptar el login (mi_usuario) por ejemplo, y el password (234asdfasklj24234lkj234lñkj3) por ejemplo, y con esos dos datos, siempre, atacar al servidor para acceder a mis mismos lados.
Vamos, que da igual que sea "manolito" o "sd234lñ23f4kj234sad423fñljk" porque sigue siendo algo que al comparar, el servidor va a seguir teniendo en su base de datos.
Con lo que lo único fiable sería una conexión por ssh o ssl.
¿Me equivoco?
¿Alguien me puede razonar mis dudas?
Muchas gracias por adelantado,
Víctor.
¿Para qué me he estado molestando en seguir el script de "Autentificator" creado por Cluster si él guarda las claves en formato md5() pero se envían desde el cliente al servidor en texto plano?
Es decir, ¿de qué me sirve guardar algo cifrado si se retransmite libre.
Después, me quedé pensando y puedo aprovechar un programa JAVA para cifrar en origen la clave y mandarla en ese mismo formato (por ejemplo) a través del puerto 80 y ya en destino se compara sin convertirla ya a md5().
Pero claro, esto ¡¡¡TAMPOCO SIRVE DE NADA!!! pues aunque la retransmisión esté cifrada, si me cogen la clave en md5 o sha1, crypt, rsa etc... SIEMPRE y digo SIEMPRE me pueden interceptar el login (mi_usuario) por ejemplo, y el password (234asdfasklj24234lkj234lñkj3) por ejemplo, y con esos dos datos, siempre, atacar al servidor para acceder a mis mismos lados.
Vamos, que da igual que sea "manolito" o "sd234lñ23f4kj234sad423fñljk" porque sigue siendo algo que al comparar, el servidor va a seguir teniendo en su base de datos.
Con lo que lo único fiable sería una conexión por ssh o ssl.
¿Me equivoco?
¿Alguien me puede razonar mis dudas?
Muchas gracias por adelantado,
Víctor.
Valora esta pregunta
0