Intercambio seguro de claves en la web entre páginas

0

En la página de autenticación, el usuario escribe su contraseña y, si es correcta, se le redirige a la página principal.

En la página principal también hay un messenger, que utiliza cifrado de extremo a extremo (Diffie-Hellman y AES). Para eso, se requiere la contraseña del usuario para generar una clave (para Diffie-Hellman).

No quiero volver a pedirle al usuario la contraseña. Sin embargo, no sé cómo enviar la contraseña de la página de autenticación a la página principal de forma segura.

¿Puedo guardar la contraseña en Coockie, obtenerla en otra página como redirigida y eliminarla?

    
pregunta Sonya Seyrios 22.08.2016 - 16:12
fuente

2 respuestas

0

En primer lugar, almacenar las contraseñas del lado del cliente es un gran no-no, porque están disponibles como texto sin formato; su sitio es inseguro por diseño si hace esto.

Lo que debe hacer es tratar de encontrar mecanismos para obtener las claves que necesita, por ejemplo, al iniciar sesión no solo autentica al usuario, sino que también genera la clave Diffie-Hellman para el mensajero y la almacena en una Variable de sesión. puedes recuperarlo más tarde cuando sea necesario.

La contraseña solo debe usarse en la mayoría de los casos para generar un hash seguro con el fin de verificar la identidad del usuario en una base de datos después de iniciar sesión, nunca debe almacenarse ni transmitirse en texto sin formato.

Si proporcionó más detalles sobre las tecnologías, podríamos brindarle más ejemplos relacionados con su situación específica.

    
respondido por el Freddy Ayala 22.08.2016 - 16:40
fuente
3

Solo usa TLS, por favor. Tratar de hacer rodar tu propia seguridad de esa manera es una receta para el desastre. De Verdad. Como dice la ley de Scheiner, cualquier persona puede inventar un sistema de seguridad tan inteligente que él o ella pueda ' t piensa en cómo romperlo. Incluso si fueras uno de los criptógrafos más inteligentes de todos los vivos (en cuyo caso realmente no lo preguntarías), es poco probable que lo hagas bien. Tomó décadas para que cientos de los más inteligentes crearan el TLS. y todavía tiene aristas ásperas.

Por lo tanto, si desea tener la oportunidad de hacerlo seguro, use TLS (como se muestra en este y en los comentarios de las preguntas anteriores). Incluso usar TLS de forma segura sin exponerte a una docena de ataques (canal lateral, xss, etc.) es difícil. Sin él, es prácticamente imposible. Y si la seguridad no es realmente su objetivo, solo ofusque ROT13, Base64, XORing con una contraseña codificada o algún otro esquema fácil y fácil de craquear, y resuélvalo, al menos no se va a arrullar con falso sentido. de seguridad.

    
respondido por el Matija Nalis 22.08.2016 - 21:44
fuente

Lea otras preguntas en las etiquetas