[pyar] autenticacion API

Andres Riancho andres.riancho en gmail.com
Mie Ago 14 11:28:29 ART 2013


2013/8/14 Claudio Freire <klaussfreire en gmail.com>:
> 2013/8/14 Andres Riancho <andres.riancho en gmail.com>:
>> A que llamas md5 en este contexto?
>>
>> 2013/8/14 Claudio Freire <klaussfreire en gmail.com>:
>>> 2013/8/13 Andres Riancho <andres.riancho en gmail.com>:
>>>> basic authentication sobre SSL
>>>
>>>
>>> Creo que incluso md5 sería mejor que basic.
>>>
>>> md5 previene replay, incluso si md5 está roto, y todo el mundo soporta md5.
>
> Autenticación Digest[0] con MD5
>
> Es mejor con SHA-1, pero es lamentablemente menos soportado

Ah, ahora si se entiende :) En cuanto a seguridad, si, digest va a ser
mejor; pero creo que me quedo todavia con basic sobre SSL por la
facilidad de implementacion de ambos lados (cliente y servidor).
Algunas (pocas) librerias de HTTP no soportan digest (salvo que le
agregues algun handler) y queres joder lo menos posible al usuario
final. Por ejemplo, si alquien quiere consumir esta API con digest
desde JS con Jquery tiene que instalar algo como [0][1]

[0] https://code.google.com/p/digestj/
[1] http://marcin-michalski.pl/2012/11/01/javascript-digest-authentication-restful-webservice-spring-security-javascript-ajax/

> [0] http://en.wikipedia.org/wiki/Digest_access_authentication
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar



-- 
Andrés Riancho
Project Leader at w3af - http://w3af.org/
Web Application Attack and Audit Framework
Twitter: @w3af
GPG: 0x93C344F3


More information about the pyar mailing list