[pyar] Semi O.T. - Firmar texto con GnuPG para guardar en la DB con Python

Juan Rodríguez Monti juanrodriguezmonti en gmail.com
Lun Abr 22 19:12:34 ART 2013


El día 22 de abril de 2013 10:45, Julian Agustin Cardonnet
<jcardonnet en gmail.com> escribió:
> Si, funcionalmente hablando me parece mejor "hacer todo junto", ya sea todo
> dentro del browser (via una extension de Chrome/FF) o todo en una aplicacion
> de escritorio aparte. Si tuvieras por un lado una webapp y por otro una app
> de escritorio que genera la firma, tendrias que hacer mas o menos todo esto:
>
> 1 - Copiar la cadena de la pagina web a la desktop app
> 2-  Generar la firma
> 3-  Pegar la firma en el browser
> 4- Mandar la cadena y la firma a tu servidor

Claro. Eso no cierra, como decía yo hace unos mails.

>
> En los pasos 1 y 3 es donde podes tener problemas (diferentes encodings
> entre el browser y tu aplicacion, cosas raras con caracteres invisibles, el
> usuario no copia EXACTAMENTE lo que deberia, y mil cosas por el estilo...).
> Ni hablar ademas de que es un garron para el usuario tener que hacer todo
> ese malabar.

Si.

>
> Con el tema de la seguridad no te puedo aconsejar gran cosa porque soy
> principiante en el asunto, asi que solo te tiro unos tips:
> - Nunca jamas mandar la clave privada por la red (y ni hablar de guardarla
> en el servidor).
> - El almacenamiento de la clave es un tema delicado (particularmente con
> cifrado de clave publica) asi que colgate de algo que ya lo tenga resuelto,
> por ej la extension de Chrome WebPG se integra con GnuPG para gestionar las
> claves.

Ni hablar, guardar la clave en el server es una locura, como deciamos
en un primer mail.

Sí, estuve mirando Chrome WebPG. Una alternativa seria que el usuario
seleccione el texto que ya escribió y está por dar de alta, y que
utilice la opción de encriptar de CWPG.

>
> Por ultimo, no se que tan seguro tiene que ser tu sistema pero si hay algo
> interesante en juego (guita, informacion, etc) te recomiendo que consigan un
> experto en desarrollo seguro (y auditar la infraestructura tambien) porque
> cualquier detalle que pasen por alto les puede pinchar el globo.

No, de ninguna manera es algo que requiera una seguridad extrema. Yo
no soy especialista en seguridad, así que me excederia hacer algo así.

Es una aplicación que necesita poder firmar/encriptar una determinada
información.

>
> Saludos
> Julian

Gracias por la data.

Juan




--
Juan Rodríguez Monti

Blog: http://www.juanrodriguezmonti.com.ar
Twitter: @jrodriguezmonti



More information about the pyar mailing list