has oído hablar de la autenticación digest? yo escribí un autenticador que almacena usuarios en una base de datos sqlite y además, soporta ambos esquemas, digest y basic
Todo eso al final es MIERDA, porque al autenticarte en digest, mandas un string hexagesimal donde la contraseña está cifrada. Si esnifeas esa conexión, tomas ese digest y los envías, (SIN IMPORTAR CUAL SEA LA CONTRASEÑA) te autenticas igual sin problema. Thread name: "[Gutl-l] Seguridad en Squid" Mail number: 1 Date: Wed, Jan 07, 2015 In reply to: Wilfredo Pérez Mayo > > Saludos Cordiales,y feliz año nuevo para todos los usuarios de la lista. > Colegas, necesito abrir un debate sobre una situación importante que es el > uso del squid como servidor proxy para navegar, y principalmente el aspecto > de la configuración para la solicitud de credenciales, al grano. > El tema es que como todos sabemos el squid solicita credenciales a los > usuarios, siempre y cuando lo tengamos configurado así, y las compara > contra un fichero, una BD etc... > por lo que tenemos dos envíos de usuarios y contraseñas que por lo general > va en texto plano, (entre el cliente y el Squid y el Squid y el servidor > donde esten alojada la BD) para solucionar este tema he investigado sobre > varios helpers que tiene el squid, entre los que se encuentran Digest y > Kerberos (NTLM) pero en el caso del primero solo encrypta la comunicacion > entre el squid y la BD, ya que el helpers es quien convierte las > credenciales en HASH y las valida contra la que esta guardada en el BD, y el > NTLM a parte de que se necesita poner el servidor squid en el dominio tiene > el inconveniente de que no solicita user y pass al iniciar un navegador sino > que usa el ticket kerberos de la secion activa, por supuesto eso es siempre > y cuando esa PC este en el dominio, así que cualquiera que encuentre una > sesión activa puede navegar con el usuario que inicio la sesión, tema > grave. > Pues bien la idea es compartir experiencias para ver cual es la mejor > opción que se puede aplicar en este caso, yo por el momento uso el basic, > pero estoy decidido a eliminar esta vulnerabilidad. > > ----- > > Lic. Wilfredo Pérez Mayo > > Administrador de Red > > Centro de Ingeniería Ambiental de Camagüey > > Avenida Finlay Km 2½, Rpto Puerto Príncipe, > > Camagüey, Camagüey, Cuba. > > e-mail: wilfr...@ciac.cu > > c...@ciac.cu > > Teléfonos: (+53)(-32)262 273, > > (+53)(-32)261 657. > > Website: wp.me/39Gnr [http://wp.me/39Gnr] > > -- > Este mensaje ha sido analizado por MailScanner > en busca de virus y otros contenidos peligrosos, > y se considera que está limpio. > > ------------ próxima parte ------------ > Se ha borrado un adjunto en formato HTML... > URL: > <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150107/691b9764/attachment.html> > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l -- -------- Warning! ------------ 100'000 pelos de escoba fueron introducidos satisfactoriamente en su puerto USB. A continuación, la firma de una herramienta inútil: -- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
