[Users-es] Re: HttpDigest no seguro

Saúl Ibarra saghul at gmail.com
Thu Aug 16 15:43:05 CEST 2007


Nop, yo en el e-Verano les hice una mini-demo de claves
"super-seguras". Le puse a un telefono de clave 1234, capture un
REGISTER con sipdump (que tiene el texto del desafio y la respuesta) y
sipcrack tardó menos de 1 segundo en decirme la clave (haciendo ataque
con diccionario).

No soy un expero, pero aunque no esta la contraseña, esta todo lo que
necesitas saber... o eso creo.

El 16/08/07, Antonio Pardo <antonio.pardo at gmail.com> escribió:
> El Thursday 16 August 2007 10:16:49 Iñaki Baz Castillo escribió:
> > El Tuesday 14 August 2007 16:42:01 Javier Allende Astigarraga escribió:
> > > Como puedo mejorar la seguridad en el momento de registrarse?? ya he
> > > comprobado que con http digest puedo obtener la contraseña
>
> > ¿Qué es lo que has comprobado? ¿Has mirado cómo funciona el http-digest? Lo
> > que se envía NO es la contraseña, es la respuesta a un desafío en el que el
> > emisor (el servidor) y el desafiado (el llamante) comparten un secreto (la
> > contraseña del llamante). En ningún caso se envía la contraseña en texto
> > plano ni nada similar.
>
> Pero no es imposible sacar la contraseña a partir del hash, ¿no?
>
> Ciao
>
> --
> http://debaser.homelinux.com/
>
> _______________________________________________
> Users-es mailing list
> Users-es at openser.org
> http://openser.org/cgi-bin/mailman/listinfo/users-es
>


-- 
Saúl -- "Some people say why, other just say, why not."
----------------------------------------------------------------
http://www.saghul.net/




More information about the Users-es mailing list