Cita:
Iniciado por Profesor_Falken 
Buenas,
Si tu unico problema es el usuario y contrasena y no necesitas encriptar toda la comunicacion, entonces puedes utilizar simplemente un algoritmo de encriptacion de clave simetrica como AES256.
Puedes encriptar facilmente en javascript con esta libreria:
[url]https://code.google.com/p/crypto-js/[/url]
Posteriormente desde java desencriptas usando JCE:
[url]http://javapapers.com/java/java-symmetric-aes-encryption-decryption-using-jce/[/url]
Un saludo
Gracias, ¿pero eso no lo capturarán igual que un md5 o un sha256? Es decir, que si yo capturo la clave, pues hago una petición con esa clave en vez del texto plano y accedo igualmente al servidor.
Perdón si me explico mal, pero es que estoy preocupado por esto:
Cita: Normalmente suelen decir que hagas un hash de la contraseña y así esta no viajará en claro por la red. Esto no es una solución porque si yo soy un “hacker” maligno y consigo ver la comunicación, no podré leer la contraseña bob123, pero si que veré 2acba7f51acfd4fd5102ad090fc612ee, que es el resultado de aplicar una función hash (md5) a bob123.
La cosa es que a mí, como atacante, me da lo mismo ver lo primero que lo segundo, ya que sé que si mando la petición de login a la página “web” poniendo como usuario bob y como contraseña 2acba7f51acfd4fd5102ad090fc612ee voy a poder acceder a la aplicación (entiéndase que esto se realizará usando alguna herramienta de manipulación de peticiones HTTP como burp o tamperdata etc…).