Duda que me asalta

Iniciado por Jhonny80, 23 Agosto 2017, 12:41 PM

0 Miembros y 2 Visitantes están viendo este tema.

Jhonny80

En primer lugar un saludo he estado leyendo algunos post y es realmente interesante este foro.

Y ahora una duda que me asalta desde mi ignorancia en la criptografía, sólo conozco los típicos AES para cifrar/descifrar y cosas así.

El caso es que estoy dando vueltas a una idea que seguro ya está hecha.
¿Existe alguna forma de que a través de los típicos datos de username etc, se genere un identificador único en el lado del cliente (el navegador) de forma que para cierta parte de una web acceda con ese identificador y no pueda saber la web de quien se trata?
Sólo sabría que ese id ha hecho una operación o la puede cambiar pero no quien es.

Es decir el problema se reduce a que a partir de una cadena relativamente larga y que es única en el sistema (aunque sea concatenando otros datos del usuario) se pueda generar un id (no tiene porque ser un número) en el navegador que sepamos que es único y que el servidor no puede descifrar (no podría saber de que usuario viene ese id pero el mismo usuario si accede tendrá el mismo id claro).

Un saludo a todos.

engel lex

lo que dices no tiene mucho sentido... todo mecanismo que uses debe estar dispuesto por la web... por qué el dueño de la web no querría saber que hizo quien? (especialmente si esto le puede ayudar a detectar ataques en su contra)
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Jhonny80

Claro que hay escenarios en que tiene sentido, pero no hablo de ataques.

Por ejemplo, imagina que en este foro se abre una votación para elegir a los administradores del foro, pero se decide que el voto es secreto.
En una parte de una web se entra para hacer la votación, la web puede saber cuantos votos han habido y cada uno de ellos pero NO que ha votado cada usuario o incluso si ha votado o no, pero un usuario puede cambiar su voto, por lo que se identifica de una forma que la web no puede identificar al usuario, pero este tendrá un id único que saldrá de los datos que tiene registrados en el sistema.
Entrará y elegirá su opción para nuevo administrador o no entrará, lo cambiará luego o no lo cambiará, pero el sistema no podrá identificarle.

Seguro que hay muchas más formas de hacer este escenario, era sólo un ejemplo pero si hay varios donde tiene sentido mi pregunta, que al final se reduce a saber como codificar un string en el navegador en otro (el identificador secreto) de forma que en el servidor no se pueda identificar ese usuario pero sea siempre el mismo si lo vuelve a hacer el cliente y que sea único (aquí es donde se me jode el invento).

La respuesta "fácil" (creo) es haz un hash pero eso no me garantiza que sea único, vale si es un hash muy largo podría "casi" garantizar la unicidad pero no se si se puede hacer otra cosa que efectivamente me garantice la unicidad y además en un proceso que el servidor teniendo ese id codificado no pueda obtener el original.

engel lex

es un ejemplo raro, pero si hay forma, como te digo " todo mecanismo que uses debe estar dispuesto por la web" puedes hacer un hash sha256 con user+pass+salt... siempre el mismo nombre de usuario con la misma contraseña se puede saber que es esa persona, pero jamas podrás de esa función extraer el nombre de usuario... así es como se almacenan seguramente las contraseñas
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Jhonny80

Entiendo que al ser SHA-256 en teoría pueden haber colisiones pero en la práctica lo podemos dar por imposible ¿no? (no se cuántas combinaciones habrán sin googlear)

El ejemplo que dices, valdría modificado o con una excepción porque entiendo que la web tiene el usuario, tiene la contraseña y todos los datos y puede calcular el también el SHA-256 salvo que:
1) La contraseña del usuario que cifre se use en claro para ese SHA-256 pero en la web se guarden las contraseñas cifradas no en claro, con lo cual no puede replicar el proceso.
2) El usuario use un "PIN" o similar que solo sabe el y no está guardado

Bueno son sólo divagaciones e ideas por el momento para aplicar en diferentes cosas, jejeje, un saludo!!!

engel lex

CitarEntiendo que al ser SHA-256 en teoría pueden haber colisiones pero en la práctica lo podemos dar por imposible ¿no?

basicamente... el espacio de colisión es de 256 bits... incluso para md5 con un espacio de colisión de 128 bits, las colisiones probadas son en archivos binarios por encima de 100kb... si tomamos que aquí es solo texto, incluso md5 sería seguro

Citar1) La contraseña del usuario que cifre se use en claro para ese SHA-256 pero en la web se guarden las contraseñas cifradas no en claro, con lo cual no puede replicar el proceso.

¿¿¿??? no entendí... aquí no hay cifrados...

y no... la web no debe guardar las contraseñas en claro, esto es una vulnerabilidad de seguridad, si llegaran a hackear la web obtendrían las contraseñas... usualmente las contraseñas se almacenan haciendo uso por ejemplo de password_hash

un ejemplo para 123 calculado 3 veces sería

123 -> $2y$10$z0ELVNshxJTV/sWs88kMsunbEzUnhhuB9VQU2JMfoXdlMYBhjUbSm
123 -> $2y$10$gYX/WFkWeW97KhdP8UHQvOBPCrkqqYvkN9A3T8oUSp2LD8wLQtDNW
123 -> $2y$10$do0PKEWvyTcsTQvYxSgBEuaz0tjOm84iqw6M9UtX0zPPk3hT4tQoq   


así que no hay problema...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.