[Users-es] Re: HttpDigest no seguro

[Jesus Rodriguez]

Hola,



>>>> No soy un expero, pero aunque no esta la contraseña, esta todo  
>>>> lo que
>>>> necesitas saber... o eso creo.
>>>>
>>> La contraseña efectivamente no va ahi, pero no es tan sencillo el
>>> asunto.
>>> (Espero ser lo menos impreciso posible, aunque se aceptaran todas
>>> las correcciones de los RFC readers que hay por aquí :P)
>>> En el mecanismo de desafió/respuesta, lo que el Registar envía al
>>> UA es un desafió que incluye entre otras cosas una marca de tiempo
>>> para que el desafió tenga un periodo de caducidad, el UA al recibir
>>> ese reto une su contraseña a ese reto y la "hashea"normalmente con
>>> MD5 (el cual tiene colisiones, al igual que todos los mecanismos de
>>> HASH) y eso conforma la respuesta al reto que es o que sera enviado
>>> (con lo cual, la contraseña nunca viaja a través de la red, en un
>>> mecanismo de registro o en un invite). En todo caso, ese hash
>>> (respuesta) llega al registar y es el que conociendo el reto y la
>>> contraseña aplica el mismo mecanismo que el cliente para crear la
>>> respuesta y si su respuesta y la del cliente coinciden es entonces
>>> cuando tomo la autenticación como correcta.
>>
>>
>> Genial y, sobre todo, sencilla explicación! :-)
> Será pa ti...pq yo no me enteré de nada XD


La otra opción que tienes es leer las 34 páginas de la RFC2617...  
perfectamente resumidas en mucho menos por David :-)


Saludos
JesusR.

------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------