Tema: contraseñas seguras con acceso inseguro
Ver Mensaje Individual
  #2 (permalink)  
Antiguo 30/12/2003, 06:40
Cluster
O_O
  
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 3 meses
Puntos: 129
Bueno .. en principio no sé si conoces lo que hace exactamente SSL. (te lo comento por encima por si acaso).

SSL (Secure Socket Layer) .. es una "capa" de seguridad que en su base lo que hace es encritar los datos que viajan desde el CLIENTE .. al SERVIDOR. Es decir; desde el navegador (ese formulario por ejemplo ...) hasta el servidor (HTTP y de ahí pasa de forma transparente hacia el lenguaje de programación del lado del servidor que uses: PHP, Perl o lo que uses).

Si usas funciones como MD5() o tantas otras que hay para "encriptar" tus contraseñas .. Recuerda que en el momento del "login" .. ese par: usuario/contraseña que tu usuario usa en su formulario (desde el cliente) . .llega al servidor (a tu "PHP") NO encriptado y por ende puede ser capturado por el camino (ejemplo una intrante que pase por un proxy u otros dispositivos ... ).

Al recibir tu contraseña .. usas MD5() y lo encriptas para almacenarlo en tu BD o donde corresponda .. Esto es bueno si usas un servicio de hosting por ejemplo; quien vea tu tabla de "usuarios" esos passwords no los podrá desencriptar .. (pero el resto de información no la tienes encriptada .. así que .. deduce tu mismo). Lo importante es "confiar" en tu servicio de hosting y sino cambiar a otro que te inspire más confianza y tenga políticas de protección y uso de datos que alojen.

En PHP tienes funciones para encriptar y desencriptar todo dato (mcrypt() por ejemplo) .. Pero se basan en una "semilla" que ha de estar en tu código PHP (fuente) .. así que si tengo acceso a tu código (ejemplo: soy el admin de ese servicio de hosting donde tienes tus pàginas) .. podré (con más tiempo o meno) usar tu própio código para "desencriptar" tus própios datos. Por eso, insisto una vez más .. debes de confiar en tu servicio de hosting, cambiarte o bien "servir" tus própias aplicaciones desde tu própia infraestructura (tus própios servidores/instalaciones).

Vale la pena que intentes comprar/instalar SSL para tu sitio. Eso inspira confianza en los usuarios de tus sistemas ademas de aportar toda la seguridad entre cliente-servidor (lo cual no puedes cambiar .. como de proveedor de hosting).

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.