Feed de Edgaragg

Facebook Share

Share on facebook

Designed by:
SiteGround web hosting Joomla Templates
Autenticación segura usando Ajax PDF Imprimir E-mail
Escrito por edgaragg   
Martes, 14 de Abril de 2009 10:26
Indice del artículo
Autenticación segura usando Ajax
¿Qué es la autenticación por desafío/respuesta?
Algoritmo propuesto
Registro de usuario seguro
¿Cómo encriptar en el cliente?
Todas las páginas

Los ultimos días he estado dedicado a investigar un poco acerca de un problema que a estado dando vueltas en mi cabeza.  Hace un tiempo apareció una noticia acerca de un nuevo ataque que hace al protocolo SSL inseguro.  Especificamente en Black Hat 2009, se publicó la herramienta SSLStrip que permite realizar un ataque de tipo "man in the middle" engañando al usuario para hacerlo creer que se encuentra en un sitio de Internet con cifrado SSL (HTTPS). En realidad tus datos se están transmitiendo sin cifrado alguno (HTTP), pero la cosa no para ahí, SSLStrip también permite  engañar el servidor HTTP, haciéndolo pensar que el cifrado ha sido anulado pero en realidad el sitio sigue como si todavía utilizara SSL.

Si esto es así, resultaría realmente fácil obtener las contraseñas de cualquier sitio web.  Entonces ¿cómo podemos protegernos?

Investigando un poco he dado con una solución que si bien no es perfecta me parece que es lo suficientemente segura para ser incluso usada sin necesidad de SSL.  La solución está basada en el uso de autenticación por desafio/respuesta y mi propuesta se usa en combinación con AJAX para el intercambio de información con el servidor.

En primer lugar voy a explicar en que consiste la autenticación por desafío/respuesta y posteriormente pasaré a dar una explicación del algoritmo propuesto, así como algunas recomendaciones que tomo en cuenta actualmente para proveer de mayor seguridad el proceso de autenticación.



Actualizado ( Martes, 14 de Abril de 2009 15:07 )