Portada
mis comunidades
otras secciones
#29 Si no recuerdo mal se aplica ssl a nivel de transporte... Tanto los GET como los POST se envían cifrados en https
El problema no son la matemáticas de acertar un CSV como ya ha demostrado #6 (suponiendo que se generan aleatoriamente...); tampoco que seas tan torpe de compartir tu CSV por twitter, facebook o cualquier otro sitio (si quieres empelando un acortador de urls). El problema está en que se envía por medio de un GET (es visible en la barra de direcciones) y se guarda en el historial. La gente normal no borra el historial, y cualquiera que acceda a ese ordenador podrá ver la declaración de la renta de esa persona. Imaginar que la hacemos en un ordenador público...
#17 Lo que quiere decir #15 no es que valla en abierto, es que haciendo un MITM con sslstrip podrías ver el código CSV tanto si va en un GET como en un POST. Básicamente la victima se conecta a ti por http y tu al servidor con https. Obviamente hay modos de evitarlos, pero ese es otro tema.
#11 Eso puede ser seguro si solo obtienen una de tus claves pero si consiguen 2 o más...
Para tener un patrón que cambie en cada sitio yo usaría pwdhash (https://www.pwdhash.com/)
#29 Si no recuerdo mal se aplica ssl a nivel de transporte... Tanto los GET como los POST se envían cifrados en https
El problema no son la matemáticas de acertar un CSV como ya ha demostrado #6 (suponiendo que se generan aleatoriamente...); tampoco que seas tan torpe de compartir tu CSV por twitter, facebook o cualquier otro sitio (si quieres empelando un acortador de urls). El problema está en que se envía por medio de un GET (es visible en la barra de direcciones) y se guarda en el historial. La gente normal no borra el historial, y cualquiera que acceda a ese ordenador podrá ver la declaración de la renta de esa persona. Imaginar que la hacemos en un ordenador público...
#17 Lo que quiere decir #15 no es que valla en abierto, es que haciendo un MITM con sslstrip podrías ver el código CSV tanto si va en un GET como en un POST. Básicamente la victima se conecta a ti por http y tu al servidor con https. Obviamente hay modos de evitarlos, pero ese es otro tema.
#11 Eso puede ser seguro si solo obtienen una de tus claves pero si consiguen 2 o más...
Para tener un patrón que cambie en cada sitio yo usaría pwdhash (https://www.pwdhash.com/)