Ver Mensaje Individual
  #3 (permalink)  
Antiguo 13/07/2012, 15:22
Avatar de Dradi7
Dradi7
 
Fecha de Ingreso: junio-2008
Ubicación: Peru - Lima
Mensajes: 1.518
Antigüedad: 14 años, 1 mes
Puntos: 220
Respuesta: Formulario seguro (con encriptación)

Bueno según lo que entiendo no quieres enviar el campo password a través de las peticiones request, de todas maneras la contraseña va a ser enviada a traves del request.

Si lo que quieres es seguridad para que no sepan cual es la contraseña debes trabajar de esta manera.

1.- La Contraseña debe estar guardada en el servidor encriptada preferible que sea de la siguiente forma SHA1(TOKEN + PASSWORD), es decir en tu Base de Datos.

2.- El Token debe estar guardado en un archivo aparte o en una clase que esta en tu servidor, el token debe contener de preferencia para mayor seguridad números, letras, otros caracteres y que sean Mayúsculas o Minúsculas.

3.- No hay que realizar como lo estas planteando en encriptar la contraseña en el lado Cliente y luego Obtener la Contraseña en el lado del Servidor y encriptarla y validarla ¿Porque? Esto haria que el hacker podria saber el algoritmo de encriptacion y a traves de Rainbow Tables obtener tu password

4.- La forma correcta de hacerlo es enviar tu password que el servidor lo encripte, luego toma la contraseña ya encriptada de tu base de datos y compararla de tal manera que sea un poco difícil poder saber si realmente lo que se esta enviando es la contraseña correcta.

Pero a pesar de todo aun la contraseña no es aun segura, te recomiendo que leas este articulo el cual explica una encriptación de contraseña a un nivel muy seguro.

http://net.tutsplus.com/tutorials/ph...asswords-safe/
__________________
La clave de todo triunfador es eliminar todas sus excusas y sus limitaciones