Cuando vivíamos en la ciudad del río, ideamos una contraseña para llamar al portero, de esa forma, si alguien era de confianza se la enseñabas y sólo tenías que accionar el botón de abrir la puerta sin descolgar el telefonillo. Los había que conocieron el camino, pero no sabían la contraseña, un simple toque les delataba, no se les abría la puerta.
Llegó un momento que demasiadas personas sabían cuantos toques y como de espaciados debía de darlos para poder llegar a casa, los viernes a la noche, se convertía en niebla las paredes.
Así que ideamos otra y reducimos el número de personas conocedoras de la nueva contraseña. Al final, nos perdimos en la niebla y no recuerdo que sucedió después.
Los logins de aplicaciones web suelen estar a la vista de todos, hay imnumerables técnicas de esconderlos un poco más, limitar el número de intentos y banear la ip, acceso a login para una determinada ip, certificados, inputs locos y aleatorios...
El caso es que en un gran porcentaje y con la estandarización de CMS's, cualquiera puede poner delante de sí un login ajeno, que introduciendo un usuario y una contraseña, puedan tener acceso a los secretos más guardados del foro de aficionados a la poda y meterse bonsais por la nariz.
Combinando curl y un diccionario puedes tener mucho entretenimiento.
En cierto modo está bien, una internet abierta e "insegura", que andar asegurando todo, restringiendo, pero el caso es que...
El otro día hablando con C, salió una idea simple, de dotar a un login con una clave aleatoria sólo válida por 24 horas. Es decir, para poder acceder al login, debías de introducir una contraseña que pasadas X horas dejaría de ser útil.
Una variable GET alojaría cifrada en sha256 la fecha de hoy, si metes la correcta, entras en el login, por ejemplo:
http://ai.com/santoysena?santoysena=99172e969fcfa4cbc410938d4ff3fab472f9e66d1c7f6846f4c5171e5c2b89ba
No hay comentarios:
Publicar un comentario