¿la compañía está enviando la cadena md5 a través de GET ['contraseña'] peligroso?

Question

¿la compañía está enviando la cadena md5 a través de GET ['contraseña'] peligroso?

#1 de tylerl (2 votos)

0

Por lo tanto, esta gran empresa reconocida (todos ustedes escucharon) está enviando cadenas cifradas md5 (con clave GET: contraseña) a través de HTTP.

Accidentalmente lo descubrí porque quería usar jnlp en una máquina que no tiene Windows. Y tengo curiosidad. ¿Es por definición inseguro trabajar así, o puede ser seguro cuando uno usa SALT y otras cosas por igual?

La URL se ve así: url / folder / page /? login = [USERNAME] & password = [MD5-String] Esta URL también se almacena en el archivo .jnlp correspondiente.

He introducido mi contraseña en MD5 y no es la misma que la contraseña en la URL.

En primer lugar, tengo curiosidad. No tengo las habilidades para explotar esto (si es posible), y ni siquiera quiero explotarlo. Si ustedes piensan que debería notificar a la compañía en cuestión: lo haré.

Gracias!

passwords md5

pregunta TheUnpragmaticProgrammer 26.11.2013 - 22:21

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords md5

¿CRIME también compromete la autenticación de acceso básico? se puede detener el spam con mi nombre pero no con mi dirección [cerrado]

score 2 · Accepted Answer

Tengo curiosidad. ¿Es por definición inseguro trabajar así?

No. El envío de contraseñas a través de GET no es menos seguro que enviarlas a través de POST (que es lo que hacen los demás sitios). significa significa que la "contraseña" se almacena sin cifrar, pero si se hace correctamente, esa contraseña que están almacenando no es su contraseña de inicio de sesión real, sino una contraseña utilizada específicamente para este propósito. De hecho, la cadena que ve que asume que es MD5 puede en realidad ser la contraseña, generada al azar.

Un token de autenticación pasado en una URL es problemático porque (a) es fácil de copiar, incluso accidentalmente, (b) se almacena en caché, (c) aparece en las cadenas de referencia, (d) aparece en los registros, (e ) ofrece poco en el camino de la autenticación real. En lugar de hacer la autenticación true , la URL en sí misma es la clave.

Por otro lado, esto puede ser exactamente lo que la empresa quiere. Si desea que un recurso protegido sea accesible para cualquiera que conozca la URL correcta, así es como lo hace.

Si simplemente lo llamaran "token de acceso" en lugar de "contraseña", ¿de repente te sentirías mejor al respecto?

Si ustedes piensan que debería notificar a la compañía en cuestión: lo haré.

Si eso te hace sentir mejor, entonces adelante y cuéntales. Ya lo saben, claro, desde que lo construyeron. Sería como notificar a alguien que su auto es azul.