Contraseñas en modo seguro
#1 ·

Hola!

Hace unos meses en mi@ hubo un robo de contraseñas...

Decían.... "¿Cómo que envían las contraseñas en modo plano?"

Eso me dejó con una duda... Y quisiera saber si esta forma de sacar contraseñas es segura o no:

-Se envía la contraseña en un campo password en un form

-Se recoge por POST y se saca la contraseña de la base de datos y se guarda en una variable.

-Se compara la contraseña de la variable con la recibida por post, en un if... y así se crea la sesión o no...

¿Es seguro este modo o no? :-)


Machacateclados
Machacateclados
Haz clic para ver el perfil del usuario
Mensajes: 258
Desde: 28/Feb/2008
· ·
#2 ·

Todo es relativo.

Los passw enviados por formulario SIEMPRE van en modo plano (la única forma de encriptarlo en el pc cliente y que salga encriptado es con jscript, pero con eso dejas el script en manos de quién sabe).

Una vez que un script recibe el usuario y passw del form tiene 2 opciones (con la contraseña):

a) al registrarse almacenas el passw tal-cual (texto plano). En este caso cuando se logea es una comparación directa: if (pasw1 == psw2).

b) al registrarse encriptas el pass (con md5, sha1, etc) y lo almacenas en la DB. En este caso cuando se logea, encriptas el pass enviado por el formulario y lo comparas con el de la DB.


@man / @woman
@man / @woman
Haz clic para ver el perfil del usuario
Mensajes: 4.001
Desde: 02/Ago/2008
· ·
#3 ·

Si la contraseña era 123456, mi@ la guardaba como 123456, cuando lo suyo es guardarla encriptada, tipo dasfwdsgfsdgsfdgwetr23542

Ahora bien, da igual como la guardes, cuando el usuario la escribe, pone 123456, si el protocolo es http, se puede pillar la misma. Para que no se pille, el protocolo tendría que ser httpS.


@man / @woman
@man / @woman
Haz clic para ver el perfil del usuario
Mensajes: 30.299
Desde: 01/Mar/2003
· ·
#4 ·

Muchas gracias por vuestras respuestas...

Bastante claras, y me he quedado sin dudas, gracias a los dos

:-) Saludos!


Machacateclados
Machacateclados
Haz clic para ver el perfil del usuario
Mensajes: 258
Desde: 28/Feb/2008
· ·
#5 ·
Escrito originalmente por Alvaro_brub

Hola!

Hace unos meses en mi@ hubo un robo de contraseñas...

Decían.... "¿Cómo que envían las contraseñas en modo plano?"

Eso me dejó con una duda... Y quisiera saber si esta forma de sacar contraseñas es segura o no:

-Se envía la contraseña en un campo password en un form

-Se recoge por POST y se saca la contraseña de la base de datos y se guarda en una variable.

-Se compara la contraseña de la variable con la recibida por post, en un if... y así se crea la sesión o no...

¿Es seguro este modo o no? :-)

Bueno...  no demasiado.

2 maneras alternativas:

La encriptas en Javascript y la envias (mejor que mejor):

http://marakana.com/blog/examples/p[....]cript-and-sessions-without-ssl.html

Lo que tu haces pero la contraseña puesta en SHA1 (sialguien ve el codigo de tu .PHP que hace el login, seguirán sin saber cual es la contraseña... algo es algo :P)

Saludos


Machacateclados
Machacateclados
Haz clic para ver el perfil del usuario
Mensajes: 122
Desde: 06/Oct/2006
·
#6 ·

Gracias por la respuesta...

Al final lo dejaré como está, porque si el usuario desactiva javascript ya lo puede quitar..

Saludos! :-9


Machacateclados
Machacateclados
Haz clic para ver el perfil del usuario
Mensajes: 258
Desde: 28/Feb/2008
· ·
#7 ·

la gente es timadora siempre tima.

en habbo todos te dicen que les des tu contraseña y tu nombre de usuario y te ponen  100 creditos.pues no son unos timadores si supiera denunciar les denunciaria por timar.ya estoy buscando como puedo denunciar en habbo


Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 4
Desde: 30/Jun/2009
·
#8 ·
Escrito originalmente por Alvaro_brub

Gracias por la respuesta...

Al final lo dejaré como está, porque si el usuario desactiva javascript ya lo puede quitar..

Saludos! :-9

t


Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 4
Desde: 30/Jun/2009
·
#9 ·
Escrito originalmente por victorzf
Escrito originalmente por Alvaro_brub
MI MENSAJE

t

¿t???

¿Qué quieres decir con eso :S?


Machacateclados
Machacateclados
Haz clic para ver el perfil del usuario
Mensajes: 258
Desde: 28/Feb/2008
· ·
ATENCIÓN: Este tema no tiene actividad desde hace más de 6 MESES,
te recomendamos abrir un nuevo tema en lugar de responder al actual
Foro de soporte · Espacio WEB · PHP
Opciones:
Versión imprimible del tema
Subscríbete a este tema
Date de baja de este tema
Ir al subforo:  
TU NO PUEDES Escribir nuevos temas en este foro
TU NO PUEDES Responder a los temas en este foro
TU NO PUEDES Editar tus propios mensajes en este foro
TU NO PUEDES Borrar tus propios mensajes en este foro
Ahora son las 17:10 UTC+02:00 DST
Temas similares
 I FotoPTemaMensajesÚltima respuesta
No Hay mensajes nuevosHaz clic para ver el perfil del usuario
Podeis quitar modo seguro??
Por: · 22/Nov/2010, 17:29
122/Nov/2010, 19:13
 Ir al último mensaje del tema
Recomendado