Me encontré con un proyecto llamado jCryption 3.0, que cifra los datos entre el cliente y el servidor, sin usar SSL. Si el JavaScript de un sitio web hubiera utilizado jCryption 3.0 para cifrar los campos del formulario de inicio de sesión antes de enviarlos (a través de SSL) al servidor, ¿esta técnica habría mitigado un posible ataque de Heartbleed?
Esta pregunta asume lo siguiente:
- SSL se usa para verificar la identidad del sitio y proporcionar una segunda capa de cifrado
- jCryption 3.0 se utiliza para cifrar cualquier información confidencial enviada entre el cliente y el servidor, incluso a través de SSL
- El servidor al que publica el navegador es un equilibrador de carga (que ejecuta una versión vulnerable de openssl), que descifra el tráfico entrante y lo envía a un servidor web para su posterior procesamiento
A mi entender, alguien que realice un ataque Heartbleed en el equilibrador de carga vulnerable solo podría descubrir un nombre de usuario cifrado & Los datos de la contraseña o la clave privada del servidor de la memoria.