miércoles, 28 de enero de 2009

¿Aún hardcodeas passwords?

Una pequeña muestra que he encontrado en SecurityTube (el Youtube de la seguridad informática) de por qué no se deben hardcodear contraseñas en un binario:


Algo que pensar para aquellos desarrolladores de software que aún utilicen estas prácticas.

Al final del video el autor dice que colgará próximamente videos utilizando herramientas un poco más avanzadas como el IDA para ver que se puede sacar.
Los esperamos con impaciencia.

6 comentarios :

Jose Selvi dijo...

He observado que el enlace no enlaza bien, da como un error de base de datos o algo así, no sé que pasará.

Para ver el video también podeis ir directamente a http://www.securitytube.net y mirar en los "recent", ahí está.

vivek dijo...

Thanks for the encouragement. Here is the next video in the series:

http://securitytube.net/Reverse-Engineering-101-(-Using-IDA-to-break-password-protections-)-video.aspx

Hope you like it.

Vivek

Jose Selvi dijo...

Supongo que la gran mayoría de las personas que leen este blog dominarán (o casi) el inglés, pero por si acaso, la traducción del post de vivek:

"Gracias por el apoyo, aquí está el siguiente video de la serie:

http://securitytube.net/Reverse-Engineering-101-(-Using-IDA-to-break-password-protections-)-video.aspx

Espero que os guste.

Vivek"

Jose Selvi dijo...

Hi vivek, thanks to you for posting these interesting videos.

What a great work!

-------------------------------

Hola vivek, gracias a ti por publicar estos videos tan interesantes.

Gran trabajo!

Tutoriales de programacion dijo...

Hola, realmente muy interesante pero una consulta, que hacemos con las contraseñas que dan aceso a una base de datos ??

Jose Selvi dijo...

Lo ideal es no harcodear la contraseña. Si puedes usar tecnologías tipo OAuth, basadas en tokens y permisos, mucho mejor.

Si no puedes, entonces tendrás que conformarte con usar certificados o contraseñas muy robustas, pero asegurarte de que las puedes cambiar periódicamente y que están en algún fichero de configuración para que no haya que sacar una release nueva.

Solo te hago un pequeño "brainstorming". Habría que ver el caso concreto para ver cual es la mejor manera de securizarlo.