#1• Hola! Hace unos meses en mi@ hubo un robo de contraseñas... Decían.... "¿Cómo que envían las contraseñas en modo plano?" Eso me dejó con una duda... Y quisiera saber si esta forma de sacar contraseñas es segura o no: -Se envía la contraseña en un campo password en un form -Se recoge por POST y se saca la contraseña de la base de datos y se guarda en una variable. -Se compara la contraseña de la variable con la recibida por post, en un if... y así se crea la sesión o no... ¿Es seguro este modo o no? |
#2• Todo es relativo. Los passw enviados por formulario SIEMPRE van en modo plano (la única forma de encriptarlo en el pc cliente y que salga encriptado es con jscript, pero con eso dejas el script en manos de quién sabe). Una vez que un script recibe el usuario y passw del form tiene 2 opciones (con la contraseña): a) al registrarse almacenas el passw tal-cual (texto plano). En este caso cuando se logea es una comparación directa: if (pasw1 == psw2). b) al registrarse encriptas el pass (con md5, sha1, etc) y lo almacenas en la DB. En este caso cuando se logea, encriptas el pass enviado por el formulario y lo comparas con el de la DB. |
#3• Si la contraseña era 123456, mi@ la guardaba como 123456, cuando lo suyo es guardarla encriptada, tipo dasfwdsgfsdgsfdgwetr23542 Ahora bien, da igual como la guardes, cuando el usuario la escribe, pone 123456, si el protocolo es http, se puede pillar la misma. Para que no se pille, el protocolo tendría que ser httpS. |
#4• Muchas gracias por vuestras respuestas... Bastante claras, y me he quedado sin dudas, gracias a los dos Saludos! |
#5• Escrito originalmente por Alvaro_brub Hola! Hace unos meses en mi@ hubo un robo de contraseñas... Decían.... "¿Cómo que envían las contraseñas en modo plano?" Eso me dejó con una duda... Y quisiera saber si esta forma de sacar contraseñas es segura o no: -Se envía la contraseña en un campo password en un form -Se recoge por POST y se saca la contraseña de la base de datos y se guarda en una variable. -Se compara la contraseña de la variable con la recibida por post, en un if... y así se crea la sesión o no... ¿Es seguro este modo o no? Bueno... no demasiado. 2 maneras alternativas: La encriptas en Javascript y la envias (mejor que mejor): http://marakana.com/blog/examples/p[....]cript-and-sessions-without-ssl.html Lo que tu haces pero la contraseña puesta en SHA1 (sialguien ve el codigo de tu .PHP que hace el login, seguirán sin saber cual es la contraseña... algo es algo :P) Saludos |
#6• Gracias por la respuesta... Al final lo dejaré como está, porque si el usuario desactiva javascript ya lo puede quitar.. Saludos! :-9 |
#7• la gente es timadora siempre tima. en habbo todos te dicen que les des tu contraseña y tu nombre de usuario y te ponen 100 creditos.pues no son unos timadores si supiera denunciar les denunciaria por timar.ya estoy buscando como puedo denunciar en habbo |
#8• Escrito originalmente por Alvaro_brub Gracias por la respuesta... Al final lo dejaré como está, porque si el usuario desactiva javascript ya lo puede quitar.. Saludos! :-9 t |
#9• Escrito originalmente por victorzf Escrito originalmente por Alvaro_brub MI MENSAJE t ¿t??? ¿Qué quieres decir con eso :S? |
ATENCIÓN: Este tema no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un nuevo tema en lugar de responder al actual |
Opciones: Ir al subforo: |
Permisos: TU NO PUEDES Escribir nuevos temas TU NO PUEDES Responder a los temas TU NO PUEDES Editar tus propios mensajes TU NO PUEDES Borrar tus propios mensajes |
Temas similares | ||||
Tema | Usuarios | Respuestas | Visitas | Actividad |
---|---|---|---|---|
Por: polmp, el 22/Nov/2010, 17:29 | 1 | 907 | Nov/10 |