la compagnia sta inviando md5 stringa tramite GET ['password'] pericolosa?

0

Quindi, questa grande azienda nota (avete sentito tutti) sta inviando stringhe cifrate md5 (con GET key: password) su HTTP.

L'ho accidentalmente rilevato poiché volevo utilizzare jnlp su una macchina non Windows. E io sono curioso È per definizione insicuro lavorare in questo modo, o può essere sicuro quando si usa SALT e altre cose allo stesso modo?

L'URL è simile a questo: url / folder / page /? login = [USERNAME] & password = [MD5-String] Questo URL è anche memorizzato nel corrispondente file .jnlp.

Ho cancellato la mia password per MD5 e non è uguale alla password nell'URL.

Innanzi tutto, sono curioso. Non ho le capacità per sfruttarlo (se possibile) e non voglio nemmeno sfruttarlo. Se voi ragazzi pensate che dovrei avvisare la società in questione: lo farò.

Grazie!

    
posta TheUnpragmaticProgrammer 26.11.2013 - 22:21
fonte

1 risposta

2

I am curious. Is it by definition insecure to work like this.

No. L'invio di password tramite GET non è fondamentalmente meno sicuro rispetto all'invio tramite POST (che è ciò che fa ogni altro sito). fa significa che la "password" è memorizzata in modo non criptato, ma se fatta bene, quella password che stanno memorizzando non la tua vera password di accesso ma piuttosto una password usata specificatamente per questo scopo. In effetti, la stringa che si presume sia MD5 potrebbe effettivamente essere la stessa password, generata a caso.

Un token di autenticazione trasmesso in un URL è problematico perché (a) è facile da copiare, anche accidentalmente, (b) è memorizzato nella cache, (c) si presenta nelle stringhe del referrer, (d) si presenta nei log, (e ) offre poco in termini di autentica autenticazione. Invece di fare l'autenticazione true , l'URL stesso è la chiave.

D'altra parte, questo potrebbe essere esattamente ciò che l'azienda vuole. Se vuoi che una risorsa protetta sia accessibile a chiunque conosca l'URL corretto, allora questo è come lo fai.

Se lo chiamassero semplicemente "token di accesso" invece di "password", ti sentiresti improvvisamente meglio?

If you guys think I should notify the company in question: I will do so.

Se ciò ti farà sentire meglio, allora vai avanti e diglielo. Lo sanno già, ovviamente, da quando lo hanno costruito. Sarebbe come avvertire qualcuno che la loro macchina è blu.

    
risposta data 27.11.2013 - 00:51
fonte

Leggi altre domande sui tag