jueves, 15 de octubre de 2015

JS, SHA-2 & SHA384

Hoy leyendo [la entrada de Hackplayers]donde hablaban de la incorporación de un hash en un script de javascript para evitar que estos sean modificados con fines malévolos. Una idea genial que ya se esta implementado en la Mozilla Developer Edition 43 pero, no hubiera puesto ese título si quisiera hablar de esto. 

En la entrada Vicente Motos ponía como ejemplo un script donde se invocaba/descargaba un archivo .js y que contenía el campo integrity donde estaba alojado el Hash en SHA384 para que, al ejecutar el script este compruebe la integridad del .js que se va a descargar.

Bueno, al no haber trabajado mucho con hashes esto de SHA384 me sonaba de la información que tendría que haber sabido para el CEH,(siento recordarlo pero aun me escama) así que, he cogido los apuntes y me he puesto a investigar un poco. 

SHA384 entra dentro de la familia de los Hashes SHA-2 en la que encontramos a SHA224, SHA256, SHA384, SHA512 que en lo único que se diferencian son en los bis del digets, vamos que se diferencia en "lo que caga" o dicho mas fino, en el tamaño del hash resultante. 

Como curiosidad diré que el NVD (National Vulnerabilities Database) del NIST usa SHA256 para comprobar la descarga de los Data Feeds de vulnerabilidades. 


Vale, es un hash de la familia SHA-2, por lo que no es vulnerable y ahora, ¿como puedo "jugar" con el?
Así que ya sabeis, no os fieis de los hashes MD5 y SHA-1 que no son de fiar.

Sed Buenos ;)

No hay comentarios:

Publicar un comentario