Autor |
Mensaje |
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
En la pagina principal del foro, donde esta la caja para hacer el login, no esta en HTTPs. Por lo tanto, aclaro que no tengo ni idea, ¿los nombres de usuario y contraseña viajan sin encriptacion por la web?
|
|
|
|
|
|
|
|
|
Moises
Nivel 8
Edad: 35
Registrado: 26 Sep 2007
Mensajes: 727
Carrera: No especificada
|
|
Si, viajan sin escriptar.
Tener un certificado SSL reconocido es caro (se debe comprar a una entidad emisora).
Ahora bien, se puede implementar un certificado emitido por uno mismo, pero los navegadores lo detectarian como "irregular" y gente inexperta podria "asustarse".
Aun asi, creo que algunas entidades emiten certifiacos reconocidos, gratuitamente para sitios sin animos de lucro/educacionales...
Pero no sé, no es tan grave en un sitio como este donde no se maneja informacion muy privada (opinion personal).
|
|
|
|
|
|
|
|
|
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
Pero que vaya sin encriptar que tan grave es?. Que tan facil pueden tapearte la conexion para obtener tu nombre de usuario y/o contraseña?.
Otra pregunta, con que CMS hicieron la pagina?
|
|
|
|
|
|
|
|
|
Rada
Moderador
Edad: 37
Registrado: 10 Abr 2006
Mensajes: 2728
Ubicación: Caballito
Carrera: Informática
|
|
|
|
|
Moises
Nivel 8
Edad: 35
Registrado: 26 Sep 2007
Mensajes: 727
Carrera: No especificada
|
|
no sé a que le llamas "tapearte la conexion". Supongo que es interceptar. No es dificil si lo haces con algun software espia. A nivel de conexion, router, etc y eso no tengo idea.
El cms es phpBB si no me equivoco.
|
|
|
|
|
|
|
|
|
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
Para probar nomas, y ver que tan facil es, podes sacar mi contraseña y publicarla en este tema?
|
|
|
|
|
|
|
|
|
Rada
Moderador
Edad: 37
Registrado: 10 Abr 2006
Mensajes: 2728
Ubicación: Caballito
Carrera: Informática
|
|
|
|
|
Moises
Nivel 8
Edad: 35
Registrado: 26 Sep 2007
Mensajes: 727
Carrera: No especificada
|
|
Supongo que se refiere a cuando el tipo apreta "enviar" y pasa esto
Referer: http://www.foros-fiuba.com.ar/portal.php
Cookie: "bblabña"
Content-Type: application/x-www-form-urlencoded
Content-Length: 67
redirect=portal.php&username=moises&password=milindacontrraseña&login=Login
Y no se puede sacar asi tan facil, tendrias que tener un software espia que se conecte conmigo y cuando hagas login, me envie esos datos... (es una forma, blah)
|
|
|
|
|
|
|
|
|
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
Para simplificar las cosas, no se podria tener una funcion encriptadora que se ejecute en el lado cliente y luego envie la contraseña encriptada (por ejemplo, hacemos una form en flash y ponemos la funcion en el action script)
Y una funcion "decriptadora" del lado del servidor, que decripte lo que envio la funcion encriptadora
---------------------------------------------------------------------------------
Sino, como se puede hacer?
|
|
|
|
|
|
|
|
|
Shokman
Nivel 9
Edad: 36
Registrado: 30 Sep 2007
Mensajes: 2182
Ubicación: casi seguro en la facu
Carrera: Electrónica
|
|
Moises escribió:
|
Supongo que se refiere a cuando el tipo apreta "enviar" y pasa esto
Referer: http://www.foros-fiuba.com.ar/portal.php
Cookie: "bblabña"
Content-Type: application/x-www-form-urlencoded
Content-Length: 67
redirect=portal.php&username=moises&password=milindacontrraseña&login=Login
Y no se puede sacar asi tan facil, tendrias que tener un software espia que se conecte conmigo y cuando hagas login, me envie esos datos... (es una forma, blah)
|
Lo que tengo entendido es que cualquier tarado hoy en dia se baja un troyano via tutorial y lo empaqueta. Se necesitan dos dedos de frente y 0 moral. Por ahi se infecta su maquina, pero bueno. Es lo mas facil y nada tiene que ver el foro.
|
|
|
|
|
|
|
|
|
Antilope
Nivel 5
Edad: 37
Registrado: 30 Ago 2006
Mensajes: 194
Carrera: Informática
|
|
_________________ Cantando con Windows:
Código:
|
C:\>If you're happy and you know it, syntax error!
Syntax error
C:\>If you're happy and you know it, syntax error!
Syntax error
C:\>If you're happy and you know it, and you really want to show it, if you're happy and you know it syntax error
Syntax error
C:\>
|
|
|
|
|
|
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
Igual es lo mismo, alguien se puede quedar con "tu hash"
-------------------------------------------------------------------
Por otro lado, como se implementa eso del hash?
|
|
|
|
|
|
|
|
|
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
Capaz se mal entendio el topic, no estoy cuestionando la seguridad del sitio, sino preguntando como lo hacen. Es una consulta constructiva
|
|
|
|
|
|
|
|
|
Moises
Nivel 8
Edad: 35
Registrado: 26 Sep 2007
Mensajes: 727
Carrera: No especificada
|
|
http://es.wikipedia.org/wiki/Algoritmo_MD5
Aqui dice como se calcula un MD5.
basicamente, tu password viaja en texto plano hasta el servidor. El servidor la toma, la encripta en MD5 y Compara con el hash (o contraseña ya encriptada cuando te registraste). Si coinciden, tu contraseña es correcta, sino, te tira para atras...
Si alguien tuviese acceso a tu hash, y lo intentara enviar.. se enviria el hash.. pero ese hash seria re-encriptado dando otro hash.. con muy altas probabilidades de que NO coincida. Y te tira para tras...
|
|
|
|
|
|
|
|
|
Ezequiel1414
Nivel 4
Edad: 37
Registrado: 22 Jul 2006
Mensajes: 108
Ubicación: Cap fed
Carrera: Química
|
|
Igual sigue el mismo problema, el usuario y contraseña viaja en texto plano. Si estas conectado a traves de un acceso inalambrico te pueden capturar los paquetes con el air-crack de una manera MUY sencilla.
Pero si queres enviar los datos con un certificado SSL es realmente muy costoso. Por lo que vi no bajan de los 200 u$s (los baratos).
Entonces me queda la duda, porque no usan algun algoritmo de incriptacion en el cliente y luego lo decriptan cuando llega al server?. Hay algoritmos de licencia publica que no pasan las 20 lineas de codigo. Por ejemplo el TEA (<a>)
|
|
|
|
|
|
|
|
|
|