Pregunta de seguridad acerca de un software desarrollado por mi
astinx:
Hola, mi nombre es Astinx soy estudiante de una facultad de informatica, recien estoy en primer año asi que soy un novato, hace unos meses que estoy desarrollando un software, mas precisamente es un cliente que sirve para compartir modulos,clases,archivos todo lo necesario para desarrollar software, uno puede tranquilamente descargar y subir "partes" (XD) de software para compartirlas entre los usuarios, seria mas o menos como un entorno virtual de software libre.
Ahora yo no se mucho sobre seguridad y les queria pedir que me critiquen acerca de como la he implementado:
Primero cuando abrimos el cliente tenemos la opcion para logearse, registrarse o salir, a todo esto le implemente un teclado virtual para evitar keyloggers.
El metodo de validacion del usuario es el siguiente, se conecta a un servidor FTP, se descarga un fichero que esta codificado, implementa un metodo para decodificarlo y busca el nombre+" "+pass en el fichero, y borra el fichero de la pc local (esto sucede en cuestion de segundos, no mas de 3 diria yo), si uno se quiere registrarse el procedimiento es similar, llena el formulario, se descarga el fichero lo decodifica, se fija si existe otro usuario similar a el, comprueba x cosas (que no hay campos vacios, que esta de acuerdo con los terminos y condiciones, etc.), de salir todo bien, escribe el usuario+" "+pass al final del fichero, lo recodifica, y lo sube al servidor FTP sobreescribiendo el fichero antiguo, por ultimo elimina el fichero de la pc local, todo esto como mencione antes ocurre en cuestion de segundos. Bueno ahora vienen las criticas XD
¿Que les parece?,¿Es seguro o es facil de penetrar, o peor aun es un suicidio en cuanto a seguridad XD?
Sus respuestas seran agradecias, muchas gracias.
any:
>:(
astinx:
El software lo he escrito en java, y si estoy seguro que la llave se elimina porque lo he probado en varias computadoras, yo pienso (si no es asi corrijanme), que el unico metodo para romper la seguridad de mi soft seria, a) descifrando el software, crakeandolo y pudiendo ver el codigo fuente del soft y viendo la contraseña y user del ftp, b) de alguna forma que alguien haga un programa que a la hora de loggearse capte la llave y guarde una copia, pero de ahi a que descubra el metodo que use para cifrar la llave, bue, no es por nada pero use una codificacion bastante complicada.
Novlucker:
1 - Debido a que es un FTP las contraseñas van en texto plano, por lo que no necesito ni ver el code de tu programa, en 3 minutos y un sniffer ya tengo el server y la contraseña.
2 - Por lo general, cualquier método "tradicional" de cifrado es más seguro que uno casero, además de que por lo que dices se puede cifrar y descifrar, por lo cual es menos seguro aún.
3 - No se por que, pero se me hace que ese archivo que se baja del FTP es tu propia "base de datos" única, por lo cual mantiene los datos de todos los usuarios (usuarios y contraseñas) :rolleyes:
2 + 3 = Dado que es java y el cliente implementa el método para descifrar, basta con hacer reversing del archivo, conseguir el método de cifrado y conseguir la totalidad de los usuarios y contraseñas :D
Saludos
madpitbull_99:
Hay un post que tal vez resuelva alguna de tus dudas : Ingenieria Inversa : Como Proteger tu programa
Navegación
[#] Página Siguiente