Foros del Web » Programando para Internet » Javascript »

bcrypt para js y metodologia correcta?

Estas en el tema de bcrypt para js y metodologia correcta? en el foro de Javascript en Foros del Web. Buenas tengo una dudilla sobre la metodologia a seguir para dar algo mas de seguridad a mis formularios de registro de datos, les cuento como ...
  #1 (permalink)  
Antiguo 25/09/2012, 14:17
 
Fecha de Ingreso: abril-2010
Mensajes: 298
Antigüedad: 9 años, 7 meses
Puntos: 1
bcrypt para js y metodologia correcta?

Buenas tengo una dudilla sobre la metodologia a seguir para dar algo mas de seguridad a mis formularios de registro de datos, les cuento como pienso hacerlo, por ejemplo un formulario donde pones tu login y password para registrarte:

Tengo en mi html, un formulario con dos campos de texto (usuario y password)y un boton, el boton dispone un evento onclick que llama a una funcion js que esta en el mismo html, al llamarla le pasa 3 parametros que son el login , el password y la url de mi .php al que una vez encriptados los datos js se encargara de redireccionar el navegador hacia dicho php y este de almacenar los datos en base de datos.

Mi problema es que no se si se dispone de una libreria para encyptar en bcrypt para js(dado que en php uso bcrypt sino usaria md5 que se que existe para ambos...) y si esta es la mejor manera de evitar que alguien que estuviese escuchando el envio pueda capturar datos sin encriptar.

Resumen:Usuario mete datos, click en boton, este llama a funcion js pasandole datos y url del php , esta encripta y redirecciona a php con la url facilitada , y php almacena en bbdd.

Gracias!
  #2 (permalink)  
Antiguo 25/09/2012, 14:26
Avatar de Dradi7  
Fecha de Ingreso: junio-2008
Ubicación: Peru - Lima
Mensajes: 1.518
Antigüedad: 11 años, 5 meses
Puntos: 220
Respuesta: bcrypt para js y metodologia correcta?

La idea que tienes esta buena, pero la pregunta es que pasa si el javascript no esta activado por ejemplo a veces sucede que los hackers hacen esto para que la pagina pierda la funcionabilidad (la cual esto no debe ser porque no hay que depender de javascript) y poder enviar los datos que desees en todo caso como se menciona siempre trata de realizar validaciones también desde el lado del servidor

http://code.google.com/p/javascript-bcrypt/

Saludos
__________________
La clave de todo triunfador es eliminar todas sus excusas y sus limitaciones
  #3 (permalink)  
Antiguo 25/09/2012, 14:41
 
Fecha de Ingreso: abril-2010
Mensajes: 298
Antigüedad: 9 años, 7 meses
Puntos: 1
Respuesta: bcrypt para js y metodologia correcta?

El tema de que js este desactivado ya lo habia pensado en ese caso simplemente no podra enviar el formulario, pero nadie podra robar nada... y hoy en dia quien tiene js desactiado si js es el alma de la web en nuestros dias... evidentemente en php todo viaja tb encriptado, que otra metodologia me recomiendas ? dado que sin js como trato la informacion antes de enviarla?

Gracias Dradi7
  #4 (permalink)  
Antiguo 25/09/2012, 14:47
Avatar de Dradi7  
Fecha de Ingreso: junio-2008
Ubicación: Peru - Lima
Mensajes: 1.518
Antigüedad: 11 años, 5 meses
Puntos: 220
Respuesta: bcrypt para js y metodologia correcta?

no necesariamente porque cuando uno hace pruebas o quiere robar la información puede desactivar el javascript si lo necesita y si por ejemplo tu no tienes validado nada del lado del servidor entonces cualquiera podría hacer injeccion sql y acceder fácilmente a tu información

no se si has revisado esto en este link mas o menos te explican como evitar que roben contraseñas de tu sistema, muy util la explicacion y los ejemplos

http://net.tutsplus.com/tutorials/ph...search_index=3
__________________
La clave de todo triunfador es eliminar todas sus excusas y sus limitaciones
  #5 (permalink)  
Antiguo 25/09/2012, 15:02
 
Fecha de Ingreso: abril-2010
Mensajes: 298
Antigüedad: 9 años, 7 meses
Puntos: 1
Respuesta: bcrypt para js y metodologia correcta?

nono evidentemente que el tema de inyeccion y demas en el lado del servidor ya esta preparado mi problema es del lado del cliente, y que yo sepa en el cliente o lo que es lo mismo , el navegador html css y js es todo lo que funciona asique si no lo trato con js con que lo trato??
lo que no puedo es enviar el formulario a un php sin encriptar porque entonces si que estoy poniendolo facil no crees? por eso necesito encriptarlo con js, y de ahi mi problematica, como traras tu los datos en cliente?

He leido el articulo, interesante pero ya conocia esa informacion aunque se basa en el servidor y yo hablo del cliente, ademas segun tengo entendido con bcrypt no es necesario implementar salt como con md5 pues blowfish ya lo trae incorporado.

PD: he descargado el zip desde la pagina que me facilitas, pero en el encuento muchas carpetas y .js sabes cual es en concreto.Aunque en el ejmplo usa todos estos , nose si son necesarios:
<script src="MochiKit/MochiKit.js" type="text/javascript"></script>
<script src="Clipperz/Base.js" type="text/javascript"></script>
<script src="Clipperz/ByteArray.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/BigInt.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/SHA.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/AES.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/PRNG.js" type="text/javascript"></script>

Una vez mas gracias Dradi7

Última edición por ferminako; 25/09/2012 a las 15:10
  #6 (permalink)  
Antiguo 25/09/2012, 15:20
Avatar de Dradi7  
Fecha de Ingreso: junio-2008
Ubicación: Peru - Lima
Mensajes: 1.518
Antigüedad: 11 años, 5 meses
Puntos: 220
Respuesta: bcrypt para js y metodologia correcta?

Una manera la cual puedes hacer y yo lo he aplicado es lo siguiente
  • Crear un Key desde el lado del Servidor
  • Luego con ese mismo Key utilizarlo como un Salt para encriptar tus datos, puedes usar AES para mejor seguridad o otro lo cual deseas
  • Validar que el Key generado corresponde a la petición que has enviado

Con esto obtendrás que cualquier usuario que roba por ejemplo la url no pueda obtener los datos ya que el key se generara automáticamente por cada petición mejor dicho por el usuario que ha entrado a ingresar los datos.

En este link se te explicara mas detallado lo de la key que te propongo y con el link que te pase podrías mejorar tu seguridad aun mas

http://net.tutsplus.com/tutorials/ph...search_index=9

Saludos
__________________
La clave de todo triunfador es eliminar todas sus excusas y sus limitaciones
  #7 (permalink)  
Antiguo 25/09/2012, 15:29
 
Fecha de Ingreso: abril-2010
Mensajes: 298
Antigüedad: 9 años, 7 meses
Puntos: 1
Respuesta: bcrypt para js y metodologia correcta?

Tomo nota, me parece muy interesante el metodo que se comenta en tu enlace, de todas maneras el mio te parece valido? es solo por guiarme , no obstante sin duda el tuyo me llama mas la atencion ;)

Gracias
  #8 (permalink)  
Antiguo 25/09/2012, 15:34
Avatar de Dradi7  
Fecha de Ingreso: junio-2008
Ubicación: Peru - Lima
Mensajes: 1.518
Antigüedad: 11 años, 5 meses
Puntos: 220
Respuesta: bcrypt para js y metodologia correcta?

Si también me parece valido, mejor dicho ambos son validos la diferencia esta que yo al hacer por ejemplo la explotación o buscarlo dentro de una tabla de arcoiris me seria mas fácil romper el tuyo que solamente utilizo un método de encriptacion como MD5 la cual mencionas talves deberías usar SHA1 o en todo caso AES como menciono porque utiliza SALT

Saludos
__________________
La clave de todo triunfador es eliminar todas sus excusas y sus limitaciones
  #9 (permalink)  
Antiguo 25/09/2012, 15:39
 
Fecha de Ingreso: abril-2010
Mensajes: 298
Antigüedad: 9 años, 7 meses
Puntos: 1
Respuesta: bcrypt para js y metodologia correcta?

Gracias por tu ayuda , me interesa el tuyo puesto que tb evita problema de xss y es un tema a tener en cuenta, no obstante recuerda que bcrypt se ha implementado en php5 y es muy interesante incluye salt por defecto, echale un ojo ;)

Un saludo!
  #10 (permalink)  
Antiguo 25/09/2012, 15:41
Avatar de Dradi7  
Fecha de Ingreso: junio-2008
Ubicación: Peru - Lima
Mensajes: 1.518
Antigüedad: 11 años, 5 meses
Puntos: 220
Respuesta: bcrypt para js y metodologia correcta?

Si ya lo revise y yo mismo lo he implementado también en un proyecto anteriormente

Saludos
__________________
La clave de todo triunfador es eliminar todas sus excusas y sus limitaciones

Etiquetas: bcrypt, formulario, funcion, html, js, metodologia, php, botones
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 07:53.