[pyar] Encriptar con Django

[Andres Riancho]

Juan,

2014-08-21 17:40 GMT-03:00 Juan Rodríguez Monti <juanrodriguezmonti en gmail.com>:
>
> El 21 de agosto de 2014, 15:29, Andres Riancho <andres.riancho en gmail.com>
> escribió:
>
>> Creo que podes ir por dos caminos:
>>  * Hacerlo vos mismo: Encriptar con AES-256 [0] antes de guardar, y
>> des-encriptar al leer.
>>  * Usar algo ya existente y probado [1]
>>
>> En ambos casos el problema mas dificil es como manejar la key:
>>  - Cuales son todos los lugares donde se guarda? Que niveles de
>> seguridad tiene cada uno?
>>  - Como hago backup de es key?
>>
>> Con algo como AES-256 no me preocuparía por la performance, la
>> cantidad de datos que estas guardando es bastante chica. Igual, nunca
>> esta de más hacer algunas pruebas de performance.
>
>
> Andrés querido!, un placer leerte, como siempre.
>
> Iria por la opción de probar algo existente y probado, porque en lo que es
> seguridad lo poco que sé, lo toco de oido.
>
> Me atrevo a pedirte algunas sugerencias sobre las preguntas que planteás, el
> experto en esto sos vos acá :-) Prometo una ronda de cervezas cuando nos
> veamos!.
>
> Sí, la cantidad de data es bastante chica.
>
> Quizás es ir siempre por el mismo lado, pero, ¿ qué conviene hacer para
> evitar los típicos problemas de guardar la clave en el server ?, ¿ guardarla
> en memoria ?, ¿ pedirsela al usuario ?.

Depende de que tanto se pueda molestar al usuario realmente, pero si
se puede creo que lo mejor en cuanto a seguridad (no usabilidad)
sería:
 * El usuario ingresa texto en un textarea
 * Al hacer click en "Guardar" al usuario se le pide la contraseña
para encriptar (debe ser larga, etc.). Cada usuario tiene su
contraseña.
 * El browser utiliza JS para encriptar el texto
 * El browser envia texto encriptado al server
 * Guardar en la DB
 * El usuario accede a leer el texto, el server se lo manda
encriptado, se ingresa la contraseña en JS, se desencripta usando JS,
datos en texto claro se muestran

Se puede hacer un poco menos molesto para el usuario todo esto al
utilizar tecnologías nuevas de HTML5 como sessionStorage donde podes
pedirle la password una unica vez, guardarla allí y despues usarla.

El problema que pasas a tener ahi es si multiples usuarios quieren
tener acceso a editar/leer el mismo texto.

> Abz,
> Juan
>
>
>
> --
> Juan Rodríguez Monti
>
> Blog: http://blog.jrodriguezmonti.com.ar
> Twitter: @jrodriguezmonti
>
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
>
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar



-- 
Andrés Riancho
Project Leader at w3af - http://w3af.org/
Web Application Attack and Audit Framework
Twitter: @w3af
GPG: 0x93C344F3