Avatar Image
Machacateclados
Machacateclados

Hola!

Hace unos meses en mi@ hubo un robo de contraseñas...

Decían.... "¿Cómo que envían las contraseñas en modo plano?"

Eso me dejó con una duda... Y quisiera saber si esta forma de sacar contraseñas es segura o no:

-Se envía la contraseña en un campo password en un form

-Se recoge por POST y se saca la contraseña de la base de datos y se guarda en una variable.

-Se compara la contraseña de la variable con la recibida por post, en un if... y así se crea la sesión o no...

¿Es seguro este modo o no? :-)

Avatar Image
@man / @woman
@man / @woman

Todo es relativo.

Los passw enviados por formulario SIEMPRE van en modo plano (la única forma de encriptarlo en el pc cliente y que salga encriptado es con jscript, pero con eso dejas el script en manos de quién sabe).

Una vez que un script recibe el usuario y passw del form tiene 2 opciones (con la contraseña):

a) al registrarse almacenas el passw tal-cual (texto plano). En este caso cuando se logea es una comparación directa: if (pasw1 == psw2).

b) al registrarse encriptas el pass (con md5, sha1, etc) y lo almacenas en la DB. En este caso cuando se logea, encriptas el pass enviado por el formulario y lo comparas con el de la DB.

Avatar Image
@man / @woman
@man / @woman

Si la contraseña era 123456, mi@ la guardaba como 123456, cuando lo suyo es guardarla encriptada, tipo dasfwdsgfsdgsfdgwetr23542

Ahora bien, da igual como la guardes, cuando el usuario la escribe, pone 123456, si el protocolo es http, se puede pillar la misma. Para que no se pille, el protocolo tendría que ser httpS.

Avatar Image
Machacateclados
Machacateclados

Muchas gracias por vuestras respuestas...

Bastante claras, y me he quedado sin dudas, gracias a los dos

:-) Saludos!

Avatar Image
Machacateclados
Machacateclados
Escrito originalmente por Alvaro_brub

Hola!

Hace unos meses en mi@ hubo un robo de contraseñas...

Decían.... "¿Cómo que envían las contraseñas en modo plano?"

Eso me dejó con una duda... Y quisiera saber si esta forma de sacar contraseñas es segura o no:

-Se envía la contraseña en un campo password en un form

-Se recoge por POST y se saca la contraseña de la base de datos y se guarda en una variable.

-Se compara la contraseña de la variable con la recibida por post, en un if... y así se crea la sesión o no...

¿Es seguro este modo o no? :-)

Bueno...  no demasiado.

2 maneras alternativas:

La encriptas en Javascript y la envias (mejor que mejor):

http://marakana.com/blog/examples/p[....]cript-and-sessions-without-ssl.html

Lo que tu haces pero la contraseña puesta en SHA1 (sialguien ve el codigo de tu .PHP que hace el login, seguirán sin saber cual es la contraseña... algo es algo :P)

Saludos

Avatar Image
Machacateclados
Machacateclados

Gracias por la respuesta...

Al final lo dejaré como está, porque si el usuario desactiva javascript ya lo puede quitar..

Saludos! :-9

victorzf
Usuario Novato
Usuario Novato

la gente es timadora siempre tima.

en habbo todos te dicen que les des tu contraseña y tu nombre de usuario y te ponen  100 creditos.pues no son unos timadores si supiera denunciar les denunciaria por timar.ya estoy buscando como puedo denunciar en habbo

victorzf
Usuario Novato
Usuario Novato
Escrito originalmente por Alvaro_brub

Gracias por la respuesta...

Al final lo dejaré como está, porque si el usuario desactiva javascript ya lo puede quitar..

Saludos! :-9

t

Avatar Image
Machacateclados
Machacateclados
Escrito originalmente por victorzf
Escrito originalmente por Alvaro_brub
MI MENSAJE

t

¿t???

¿Qué quieres decir con eso :S?

ATENCIÓN: Este tema no tiene actividad desde hace más de 6 MESES,
te recomendamos abrir un nuevo tema en lugar de responder al actual
Opciones:
Ir al subforo:
Permisos:
TU NO PUEDES Escribir nuevos temas
TU NO PUEDES Responder a los temas
TU NO PUEDES Editar tus propios mensajes
TU NO PUEDES Borrar tus propios mensajes
Temas similares
TemaUsuariosRespuestasVisitasActividad
Por: , el 22/Nov/2010, 17:29
polmp NoSetup.org1907Nov/10