Un agujero de seguridad en el mecanismo de cifrado XML podría obligar a la industria a adoptar un nuevo estándar, incompatible hacia atrás con el actual. Lo investigadores aseguran que "la solución al problema no es nada fácil".
Al parecer el problema es que enviando a un servidor un documento XML cifrado alterado y analizando los mensajes de error se puede obtener el XML original sea cual sea el método de cifrado utilizado.
#1 Según tengo entendido los contenidos en XML se pueden cifrar con métodos como AES. Es ahí donde veo que está todo el problema, que según se explica los atacantes podrían tener acceso a los datos cifrados, y ahí también deben de englobarse los personales, tarjetas de crédito incluidas.... miedo me da.
#5 El problema es utilizar la encriptación base de XML. Pero cualquier aplicación seria, utiliza una capa de seguridad para encriptar y firmar los mensajes SOAP. Desconozco si hay mucha gente que utilice la encriptación a pelo de XML, pero dudo que esto sea un problema grave para casi todo el mundo.
#6 Casi todo el mundo utiliza en algún momento servicios de Microsoft, Apache, Red Hat, IBM, Amazon.com, y todos estos servicios parecen verse afectados según la información... Por cierto, no se dice encriptación, sino cifrado
Comentarios
XML no tiene nada que ver con cifrado
#1 Aquí aparece redactado de una forma comprensible http://www.livehacking.com/tag/juraj-somorovsky/
Al parecer el problema es que enviando a un servidor un documento XML cifrado alterado y analizando los mensajes de error se puede obtener el XML original sea cual sea el método de cifrado utilizado.
#2 Gracias, porque no veía por ningún lado la relación, ese enlace está bastante bien.
Bueno, podría ser una buena oportunidad para eliminar XML y SOAP del mapa
#1 Hay un estándar de cifrado XML: http://es.wikipedia.org/wiki/Seguridad_XML#Cifrado_XML
#1 Según tengo entendido los contenidos en XML se pueden cifrar con métodos como AES. Es ahí donde veo que está todo el problema, que según se explica los atacantes podrían tener acceso a los datos cifrados, y ahí también deben de englobarse los personales, tarjetas de crédito incluidas.... miedo me da.
#5 El problema es utilizar la encriptación base de XML. Pero cualquier aplicación seria, utiliza una capa de seguridad para encriptar y firmar los mensajes SOAP. Desconozco si hay mucha gente que utilice la encriptación a pelo de XML, pero dudo que esto sea un problema grave para casi todo el mundo.
#6 Casi todo el mundo utiliza en algún momento servicios de Microsoft, Apache, Red Hat, IBM, Amazon.com, y todos estos servicios parecen verse afectados según la información... Por cierto, no se dice encriptación, sino cifrado
#6 Como por ejemplo wssecurity en los servicios web (que funcionan mediante el intercambio de mensajes xml).
Me parece exagerado "hace peligrar la seguridad en internet", pero meneo porque la noticia es interesante.