[pyar] Auth entre servidor / cliente usando https y evitar robo de info en el medio ...
Emiliano Dalla Verde Marcozzi
edvm en airtrack.com.ar
Lun Ene 17 10:51:57 ART 2011
Buenas querida lista,
Tengo que transferir datos entre cliente servidor, servidor cliente y tratar
de que
no me roben info en el medio ... Por ahora el tema viene así:
1- El servidor es un Pylons, aún estoy en duda si usar Rest, o manejarlo con
GET/POST/etc a mi manera. Este servidor Pylons va contra una DB donde tiene
los usuarios, passwds, etc ...
2- El cliente envia user, passwd. Por ahora usando httplib a secas, nada
raro ...
3- El servidor Pylons authentica, y si todo OK, envía datos al cliente.
Bien, para que el user y passwd no viajen en texto plano, uso https ... El
problema
con https es sslstrip:
http://www.thoughtcrime.org/software/sslstrip/
Ok, si se me meten en el medio de la sesión https, podrian ver el user y
passwd, bad ...
Pues encriptemos el user, pass, y toda la data que va por https ... se me
ocurre generar
por parte del cliente y servidor llaves con openpgp, por ej usando:
http://code.google.com/p/python-gnupg/
Con lo que tendria que intercambiar las llaves publicas entre el servidor y
cliente ... en
borrador me quedaría algo así:
0- sesión https
1- cliente genera llave priv / pub
2- cliente envía pub a server
3- server recibe pub ciente y genera llave priv / pub para este cliente en
especifico
4- server envía su pub a cliente
5- cliente usa server_pub y encripta usuario, passwd y lo manda
6- server usa cliente_pub, desencripta y hace auth ...
De esta forma, creo, pueden romper la sesión https, pero los datos que
viajan dentro
estarían encriptados ... el leak de esta cadena es el apoderarse de las
llaves privadas.
Estoy más que interesado en saber sus puntos de vista, opiniones, consejos,
experiencias,
etc ...
Muchas gracias de antemano,
--
*Emiliano Dalla Verde Marcozzi*
Encargado de IT y Python Ninja Developer
San Juan 4879
Rosario. Argentina
Tel. (+54) 341 437 6878
www.airtrack.com.ar
"Chuck Norris doesn't need a debugger, he just stares down the bug until the
code confesses."
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20110117/c966fa97/attachment.html>
More information about the pyar
mailing list