próximo »

[Alluz]

Estoy viendo un archivo de server.cfg de un webservice de java y me encuentro con algo muy bonito que dice algo como:

USER_ID=4T4AjV0DtooPIGVQlqd+6FRTaaM7DYmrJrAV1R9Y0GR=
USER_PASSWORD=i/vYjuQRiQ7GYzYSwe0xRRH/Aeg6z4Afdz77kX7b7wj=

Parece que fuera base64, pero no lo es. No tengo ni idea

[donaldjeo]

El objetivo de la codificación de la contraseña es para disuadir a la observación casual de las contraseñas en la configuración del servidor y los archivos de propiedad. Utilice la utilidad PropFilePasswordEncoder para codificar las contraseñas almacenadas en archivos de propiedades. WebSphere Application Server no proporciona una utilidad para descifrar las contraseñas. De codificación no es suficiente para proteger plenamente a las contraseñas. Nativo de seguridad es el principal mecanismo para la protección de las contraseñas usadas en la configuración de WebSphere Application Server y files.I propiedad desea escribir más, pero estos días estoy haciendo la preparación de diferentes tipos de certificaciones en línea y he encontrado security+ training es el mejor fuente de ayuda que se ofrece el 100% de material auténtico. También me paso el tiempo extra en la navegación por Internet, escuchar música y jugar juegos. Después de mis exámenes me gustaría unirme a su grupo.

Motivo del edit: remover el link.

[Alluz]

La pregunta está relacionada con servlets java de apache tomcat, no con websphere (la plataforma para soa de ibm que incluye bpm, buses de datos, integración de mil cosas, todo a 4 y 5 capas).

[nitr0k1ller]

eso me huele a bot spamer, joder como progresan los desgraciados xD

[Alluz]

Si era un bot, pero aún así, nadie me ha dado respuesta

[Alluz]

Me tocó llamar a Zealot por teléfono para preguntarle y me respondió: "eso depende del criterio del programador"... esa era la respuesta.

[ZEALOT]

wenas...

jejeje, me imaginaba que alluz iba a recurrir al foro... xD
pues si, si es una aplicacion web con servlets si depende de lo que haya querido utilizar el programador, lo que alluz no me dijo es que era un webservice... lo cual me deja dudando, porque es muy tedioso hacer un webservice a punta de servlets en java, a menos que se utilice algun parser xml de las librerias para desenmarañar los mensajes soap o tambien que el programador haya utilizado algun framework...

a simple vista se ve que si es base64, pero generalmente aplican base64 despues de generar un hash o codificar con un algoritmo que genera datos en binario porque al programador le dio pereza convertirlos en caracteres hexagecimales, en este caso si decodificamos el base64 del usuario y la contraseña vemos los siguientes datos...

E13E008D5D03B68A0F20655096A77EE8545369A33B0D89AB26B015D51F58D064
8BFBD88EE411890EC6633612C1ED314511FF01E83ACF801F773EFB917EDBEF08

son el usuario y la contraseña, las cuales son de 256 bits... eso me hace sospechar que es SHA-2(SHA-256), aunque solo es una sospecha, puede ser cualquier otro algoritmo o hash(me inclino por esta) de 256 bits...


por ahora solo puedo colaborar con eso...

PD: Iker es gay, despues publico algo nuevo sobre sockets pa' que no diga nada...

adew