¿Se basaron los derivados de VT100 en la seguridad del lado del cliente?

Navega tus respuestas
3

Los terminales VT100 son "terminales simples": solo muestran datos del servidor y envían pulsaciones de teclas, sin procesamiento local. En esta configuración, puede haber fallas en la aplicación del lado del servidor, y la conexión generalmente no está encriptada. Pero no se confía en el cliente para los controles de seguridad.

Las nuevas derivadas como VT220 introdujeron más códigos de control: colores, control del cursor, gráficos primitivos. De la lectura básica en Wikipedia no puedo ver cómo enviaron datos al servidor. ¿Sigue siendo solo pulsaciones de teclas directas, o algún protocolo más estructurado?

Alguien me mencionó de manera informal que algunos de estos protocolos introducen controles de seguridad del lado del cliente. P.ej. La pantalla tendría varios campos, algunos de los cuales son de solo lectura, y el control se aplica al cliente. Esto sería interesante para las personas de seguridad, porque un cliente malintencionado podría omitir esos controles. Sin embargo, no puedo encontrar ninguna información en línea para mostrar que esto fue un problema.

Sólo estoy pidiendo interés histórico. ¿Sabe de algún protocolo relacionado con terminales tontas en el que el cliente realice controles de seguridad?

    
pregunta paj28 29.10.2016 - 15:08
fuente

2 respuestas

2

Aunque como se señala en los comentarios, algunos terminales, especialmente la serie 3270 de IBM (apodada 327X), realizaron una "edición" local significativa para reducir la transmisión y especialmente el tiempo de procesamiento, y como una conveniencia para los usuarios / operadores, esto no fue diseñado o utilizado como control de seguridad.

Lo más cercano a lo que puedo pensar es que casi todos los terminales de "tiempo compartido", como los dispositivos y la mayoría de los sitios web de hoy, esperaban que ingresaras con una contraseña o algo similar una vez y luego te permitieran hacer varios comandos, etc. . definido por su inicio de sesión / ID de usuario por un período de tiempo bastante largo, de modo que si su terminal no estuviera en un área asegurada físicamente y la dejara para ir al baño o algo así mientras una persona iniciada la sesión podría usar su cuenta registrada. en sesión para hacer cosas que no estaban autorizadas a hacer. Pero esto parece tan obvio que no estoy seguro de que sea una respuesta a tu pregunta.

    
respondido por el dave_thompson_085 04.11.2016 - 08:21
fuente
3

En los viejos tiempos, el abuelo de todas las terminales era el Teletype model 33 , uno de los primeros ASCII capaces terminal. AFAIK, el único protocolo era:

  • enviar el código ASCII para cualquier tecla presionada
  • imprime el carácter para cualquier código recibido

Todavía es lo que se proporciona para los emuladores dumb . No hay seguridad involucrada aquí.

Llegaron terminales con pantallas. El fabricante implementó varios códigos de control para permitir colocar el cursor en la pantalla y permitir algunos efectos: parpadeo, intensidad tenue o alta, video inverso y finalmente colores. Más posibilidades de presentación, pero aún no hay lugar para la seguridad.

Con esos terminales fue posible utilizar la edición de pantalla completa (en el sentido de lo que se permite con cursas y editores como emacs y vi) pero toda la presentación fue realizada por el servidor. Algunos fabricantes de terminales decidieron implementar un modelo transaccional: el servidor envió una página, marcando una zona como de solo lectura y otra como editable, la terminal la mostró y permitió al operador rellenar los campos editables localmente y solo cuando se completó toda la página, el operador presionó una tecla Enviar y todos los campos editables se enviaron al servidor en una sola operación. Esto permitió que un solo servidor aceptara mucho más terminal.

Pero tampoco hubo seguridad: el terminal era local (cableado) o conectado a través de módems simples. Se suponía que el usuario debía iniciar sesión cuando se conectó por primera vez, parada completa. Toda la seguridad estaba en el nivel de la aplicación en el servidor, porque no existía el equivalente de Javascript para enviar el código que se ejecutará en el terminal.

    
respondido por el Serge Ballesta 29.10.2016 - 19:41
fuente

Lea otras preguntas en las etiquetas

El servidor tarda 30 segundos en responder a una solicitud simple. DoS? ¿Pautas para las suites de cifrado TLS?