Encriptar o no?

Tengo mi login encriptado del lado del cliente para evitar escuchas y comparo el pass ya encriptado, todo funciona de maravilla, el asunto es que trate de logear desde un dispositivo movil (blackberry) y no funciono, el browser no ejecuto Javascript, entre a las opciones del navegador y active ejecucion de JS y tampoco.

Como en mi Bd tengo las claves encriptadas, para hacer la comparacion necesito encriptar antes, averiguando un poco siempre recomiendan encriptar y aunque lo hago con el md5 que no es lo ultimo, es mejor que nada y me funciona bien.

Mire el codigo fuente de http://m.facebook.com y esto encontre:

<form action="https://login.facebook.com/login.php?m=m&amp;refsrc=http%3A%2F%2Fm.facebook.c om%2F&amp;r508abf5c&amp;refid=8&amp;r83863cdf" method="post"><input type="hidden" name="charset_test" value="€,´,€,´,水,Д,Є" /><small>Email or Phone:</small><br />
<input type="text" name="email" value="" /><br />
<small>Password:</small><br /><input type="password" name="pass" /><br />
<div><input type="submit" class="button" name="login" value="Log In" /></div></form>

no encriptan el envio y si encripto del lado del servidor la seguridad seria solo para mi como administrador y no para los que escuchan que son los que de verdad hacen daño.

Necesito una recomendacion ya que le dedique tiempo a la encriptacion para que ahora no me funcione.

Gracias

En mi opinión, encriptar del lado del cliente no es un buen "approach", al final todo está expuesto, si realmente estás tan preocupado por los escuchas y su grado de conocimiento es tal que es tan estresante, creo que no hay otra opción que invertir en un certificado SSL.


Saludos

u_goldman Gracias por tu respuesta.

En tu opinion esta bien dejarlo sin encriptar? mientras se justifica un certificado ssl.

Hola jochesfor

No se si esté bien, depende de cada quien, lo que sí creo que el punto es, si de todas maneras se va a transmitir encriptado o no al final sale lo mismo, a menos que tengas dos o más métodos para cifrar en el cliente y descifrarlos en el servidor, pero de todas maneras, nunca confies en el cliente

Creo que godaddy tiene en promoción los certificados SSL por cierto.

Saludos

u_goldman a que te refires con "encriptado o no al final sale lo mismo", yo se que cualquier clave es desencriptable, pero al encriptarla se reduce mucho el numero de personas que sea capaz de desencriptarla, o me equivoco?

Gracias

Pero ellos tienen un certificado de seguridad

Gracias Myakire, sabes algo de como funciona, como se valida ese tipo de certificados para que sea seguro sin necesidad de encriptar datos?

o algun texto o pagina web que hable del tema

Gracias de nuevo

Ese es un certificado SSL, básicamente se encarga de encriptar todos los datos envíados que se encuentren bajo el protocolo https.

Más info aquí: http://es.wikipedia.org/wiki/SSL

Son dos cosas que tienes que contemplar:

1. El envío seguro de datos, que es lo que te preocupa a tí en este caso, para lo cual salvo algunas aproximaciones bastante complejas, lo ideal es un certifcado SSL.
2. El almacenamiento de datos importantes encriptados - esto lo tienes que implementar tú-.


Saludos

Gracias, voy a revisar y comento