Autor
|
Tema: Pregunta de seguridad acerca de un software desarrollado por mi (Leído 3,336 veces)
|
astinx
Desconectado
Mensajes: 111
|
Hola, mi nombre es Astinx soy estudiante de una facultad de informatica, recien estoy en primer año asi que soy un novato, hace unos meses que estoy desarrollando un software, mas precisamente es un cliente que sirve para compartir modulos,clases,archivos todo lo necesario para desarrollar software, uno puede tranquilamente descargar y subir "partes" (XD) de software para compartirlas entre los usuarios, seria mas o menos como un entorno virtual de software libre. Ahora yo no se mucho sobre seguridad y les queria pedir que me critiquen acerca de como la he implementado: Primero cuando abrimos el cliente tenemos la opcion para logearse, registrarse o salir, a todo esto le implemente un teclado virtual para evitar keyloggers. El metodo de validacion del usuario es el siguiente, se conecta a un servidor FTP, se descarga un fichero que esta codificado, implementa un metodo para decodificarlo y busca el nombre+" "+pass en el fichero, y borra el fichero de la pc local (esto sucede en cuestion de segundos, no mas de 3 diria yo), si uno se quiere registrarse el procedimiento es similar, llena el formulario, se descarga el fichero lo decodifica, se fija si existe otro usuario similar a el, comprueba x cosas (que no hay campos vacios, que esta de acuerdo con los terminos y condiciones, etc.), de salir todo bien, escribe el usuario+" "+pass al final del fichero, lo recodifica, y lo sube al servidor FTP sobreescribiendo el fichero antiguo, por ultimo elimina el fichero de la pc local, todo esto como mencione antes ocurre en cuestion de segundos. Bueno ahora vienen las criticas XD ¿Que les parece?,¿Es seguro o es facil de penetrar, o peor aun es un suicidio en cuanto a seguridad XD? Sus respuestas seran agradecias, muchas gracias.
|
|
|
En línea
|
La programación hoy en día es una carrera entre los ingenieros de software intentando construir mejores y más eficientes programas a prueba de idiotas y el Universo intentando producir mejores y más grandes idiotas. De momento, el Universo está ganando
|
|
|
any
Desconectado
Mensajes: 173
for(;;) developing
|
|
Any
« Respuesta #1 en: 20 Septiembre 2010, 02:51 am » |
|
|
|
« Última modificación: 29 Marzo 2017, 21:35 pm por any »
|
En línea
|
|
|
|
astinx
Desconectado
Mensajes: 111
|
El software lo he escrito en java, y si estoy seguro que la llave se elimina porque lo he probado en varias computadoras, yo pienso (si no es asi corrijanme), que el unico metodo para romper la seguridad de mi soft seria, a) descifrando el software, crakeandolo y pudiendo ver el codigo fuente del soft y viendo la contraseña y user del ftp, b) de alguna forma que alguien haga un programa que a la hora de loggearse capte la llave y guarde una copia, pero de ahi a que descubra el metodo que use para cifrar la llave, bue, no es por nada pero use una codificacion bastante complicada.
|
|
|
En línea
|
La programación hoy en día es una carrera entre los ingenieros de software intentando construir mejores y más eficientes programas a prueba de idiotas y el Universo intentando producir mejores y más grandes idiotas. De momento, el Universo está ganando
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
1 - Debido a que es un FTP las contraseñas van en texto plano, por lo que no necesito ni ver el code de tu programa, en 3 minutos y un sniffer ya tengo el server y la contraseña. 2 - Por lo general, cualquier método "tradicional" de cifrado es más seguro que uno casero, además de que por lo que dices se puede cifrar y descifrar, por lo cual es menos seguro aún. 3 - No se por que, pero se me hace que ese archivo que se baja del FTP es tu propia "base de datos" única, por lo cual mantiene los datos de todos los usuarios (usuarios y contraseñas) 2 + 3 = Dado que es java y el cliente implementa el método para descifrar, basta con hacer reversing del archivo, conseguir el método de cifrado y conseguir la totalidad de los usuarios y contraseñas Saludos
|
|
« Última modificación: 20 Septiembre 2010, 21:29 pm por Novlucker »
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD "Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein
|
|
|
|
astinx
Desconectado
Mensajes: 111
|
Jjajaja muchas gracias por aclararme mis dudas, es que soy novato asi que aun no me he metido mucho en base de datos (tengan en cuenta que mis examenes de programacion son en pascal ¬¬¬¬¬ recien el año q viene empiezo con.......del....phi... jaajaj) asi que para no tener que ponerme a manejar bases de datos me parecio intentar probar con un fichero XD. Muchas gracias por ilustrarme me imagine que algun bug tenia mi metodo
|
|
|
En línea
|
La programación hoy en día es una carrera entre los ingenieros de software intentando construir mejores y más eficientes programas a prueba de idiotas y el Universo intentando producir mejores y más grandes idiotas. De momento, el Universo está ganando
|
|
|
|
|