Hoy leyendo [la entrada de Hackplayers]donde hablaban de la incorporación de un hash en un script de javascript para evitar que estos sean modificados con fines malévolos. Una idea genial que ya se esta implementado en la Mozilla Developer Edition 43 pero, no hubiera puesto ese título si quisiera hablar de esto.
En la entrada Vicente Motos ponía como ejemplo un script donde se invocaba/descargaba un archivo .js y que contenía el campo integrity donde estaba alojado el Hash en SHA384 para que, al ejecutar el script este compruebe la integridad del .js que se va a descargar.
Bueno, al no haber trabajado mucho con hashes esto de SHA384 me sonaba de la información que tendría que haber sabido para el CEH,(siento recordarlo pero aun me escama) así que, he cogido los apuntes y me he puesto a investigar un poco.
SHA384 entra dentro de la familia de los Hashes SHA-2 en la que encontramos a SHA224, SHA256, SHA384, SHA512 que en lo único que se diferencian son en los bis del digets, vamos que se diferencia en "lo que caga" o dicho mas fino, en el tamaño del hash resultante.
Como curiosidad diré que el NVD (National Vulnerabilities Database) del NIST usa SHA256 para comprobar la descarga de los Data Feeds de vulnerabilidades.
Vale, es un hash de la familia SHA-2, por lo que no es vulnerable y ahora, ¿como puedo "jugar" con el?
- Desde python podemos jugar mucho con la libreria hashlib de la que el amigo snifer ya nos ha hablado:
- Si no, en Linux y Unix en general podemos utilizar la herramienta shasum para sacar el hash de un archivo y comprobarlo.
Sed Buenos ;)
No hay comentarios:
Publicar un comentario