05/07/2005, 21:31
| |||
| |||
 Encriptar password ¿en el PC o el Servidor? Hola: Mas que ayuda necesito orientación en cuanto a seguridad se trata: Si tengo un campo password que lo encripto con MD5 para que sea mas difícil su detección, es "mejor" hacerlo en el PC donde se visualiza la página o en el servidor donde se aloja la página? En el servidor, tendría que ser por medio de php, o sea: $password= md5 ( $password ); En el PC, tendría que ser por medio de javascript, o sea: Javascript MD5 ¿Cuál método es mas confiable? Sugerencias al respecto son bienvenidas  Saludos |
|
05/07/2005, 23:47
| |||
| |||
| Hola, primero te diria que lo mejor seria que ya salga encryptado desde el cliente, porque muchas veces (en realidad muchisimos ataques se basan en atacar la información que es enviada) es atacado cuando se envia. Mi humilde recomendación seria que por medio de JS lo hagas y ya la envies encryptado pero todo esto depende de que tipo de aplicación sea porque si consiguiendo los datos lo unico que pueden hacer es visualizar fotos, no creo que tendria que tener mucho esfuerzo eso, sino que seria mejor que le pongas más atención a la inyección de codigo. Como siempre todo depende del proyecto. Saludos. |
|
06/07/2005, 00:12
| |||
| |||
| el proyecto en sí son unos formularios donde por cada acción realizada (ingresar, modificar o eliminar datos) se pide un password general. Dependiendo si el password es correcto, realiza la acción, sino, la rechaza. Entonces me preocupa el tema de la seguridad ya que podrían ingresar código malicioso como para cambiar el password de la BD. Yo supongo que encriptar el password con md5 no basta para hacer del sitio un lugar seguro, por eso necesito algo de orientación...como por ejemplo ¿como podrían cambiar el password de la BD siendo q está con md5? o cómo evitar la ingeniería inversa, etc. Estaba revisando algunos programas para encriptar el código pero no sé qué tan efectivos son... Saludos y gracias por el comentario. |
|
06/07/2005, 01:50
| |||
| |||
| Mira el punto que más te tendria que preocupar es sobre la inyección, ya que por medio de la inyección pueden cambiar el password, otro metodo no conozco  . El tema de encryptar los password es por si lo llegan a atrapar no les sirva de nada. Otra tecnica que conozco son los desfasaje (creo que era asi, en ingles ni idea) se trata de cambiar la pagina principal, no hace daño pero una vez echo tienes que volver a hacer la pagina desde cero ya que lo van a volver hacer, contra esto no te puedo decir nada ya que nose como se ataca pero tampoco te preocupes mucho ya que son pocos los que lo realizan y tampoco se basa como con las inyecciones ya que son bugs conocidos y ya estan parcheados (esto sucede en hosting de bajo presupuesto, no mantienen todo al dia). Te recomendaria que busques algo mas que nada contra las inyecciones, pero desde mi punto de vista estos ataques son gracias a los programadores despistados  , ya que cuando se espera un valor que proviene de x lugar con un valor numerico no lo verifican o cuando esperan un string no mayor a 5 caracteres tampoco lo verifican, en fin, son cosas minimas que los grandes del background aprovechan (expreso mi admiracion a esta gente ya que encuentran algo sin que se les diera ningna pista, pero tambien quiero decir que los peligroso no son los hackers, los peligrosos son los que bajan algo echo por alguien que sabe y ellos solo apretan 2 botones, pero esto es otro tema  ). Ah tambien te diria que busques sobre como hacer seguras las sessiones AQUI tienes algo que te sirvira, si logras entender lo que explican ahi y lo puedes pasar en blanco, lo agradeceria ya que no entiendo bien lo que plantean... Bueno si se me ocurre algo mas despues vuelvo a postear. Saludos y espero que no me alla ido mucho por las ramas  y que te ayude en algo lo que dije. |
|
07/07/2005, 15:17
| |||
| |||
| jeje muchas gracias por tu aporte...estaba pensando en aplicar sesiones a los formularios pero no sé si esto realmente detendrá las inyecciones de código...leeré el link q me mencionas...gracias |
|
07/07/2005, 17:54
| |||
| |||
| bueno, me puse a leer mas de esto acá: inyección de sql Modo de almacenamiento encriptado y me ha aclarado un poco mas la pelicula... También encontré el script SafeSQL que revisa las entradas antes de ser ejecutadas, por si a alguien le interesa... Igual veo poco movimiento sobre este tema ya que nos debería preocupar a todos lo de la seguridad ya que no sirve de nada programar un gran sistema que haga de todo si no hay seguridad en los datos... Saludos |
