encriptar el action de un formulario y desencriptarlo en el servidor

ivanfisi · #1 (**permalink**) 14/04/2011, 16:26

Hola siempre recurro a esta pagina para resolver algunas observaciones.En esta oportunidad estoy trabajando con PHP soy nuevo en esto.Me a surgido una duda con respecto al envio de usuarios y claves es decir el clasico login de una aplicacion.

Primera posibilidad; queria enviar , el usuario y clave encriptados en mi formulario de logueo, para eso pense usar java script pero no lo vi muy seguro ya que le pueden hacer reingenieria inversa al js en fin ademas tambien podrian desactivar del navegador el uso de javascript y se malogro todo.

Segundo posibilidad; configure todo el servidor apache para que pudiera soportar el protocolo https bacan lo logre cree mi certificado y todo (con Openssl) hasta ahi todo bien pero revisando paginas me di con un compleento del firefox el "live HTTP headers" y bueno asi este en http o https este programita captura las cabeceras post que todos las consultas que se hagan en el navegador y ahi vi que no estaban encriptadas (vi los datos que pasaban como texto plano) es mas me meti a paginas reconocidas como gmail y hotmail , con igual resultado se podian ver las claves y usuarios digitados en el POST.Al ver esto si bien https protege el dato ya en la red no lo hace si por ejemplo instalas este programita en la maquina que hace la consulta.

Tercera posibilidad, me plantee esto, ya que sepan la clave y usuario pero que no sepan a donde son enviadas realmente estos datos.Asi surgio mi idea cuando hacen la peticion de ingresr al sistema yo les pinto el formulario con el action encriptado algo asi.
<form action="nombreencriptado.php" .....> .....</form>

entonces aqui surge mi problema como hago para desencriptar el action y redirigirlo a su verdadero destino, es decir quien recibe esta consulta post.Es decir agarrar ese post y desencriptar el nombre del action y que siga su rumbo.

claro este nombre encriptado lo puedo hacer variable con la sesion etc, pero el problema surge en saber como lo desencripto cuando le dan enviar al login , pero esto en el lado del servidor sin usar javascript.

Muchas gracias por leer esta consulta , agradeceria sus comentarios.

eits · #2 (**permalink**) 14/04/2011, 17:11

a mi entender no te serviría el encriptar el action ya que de todas maneras no tienes control sobre ese punto, lo tiene el navegador, imagínate, como va a saber el navegador a donde enviar la petición, el acción intentará enviarla a lo que se le esta indicando, lo mejor a mi entender(y no digo que sea lo correcto) es que lo encriptes con javascript y cuando llegue al servidor hacer lo correspondiente para lee el dato, es imposible que puedas tener el control de un equipo por medio del navegador(sin tomar en cuenta las vulnerabilidades de estos), te imaginas, todos pudiéramos manipular el equipo del que queramos siempre y cuando se conecte a internet.
pensando un poco en lo que dices
tu primera posibilidad, "le pueden hacer reingenieria inversa al js", para que hacer eso si se las claves,encriptadas pero tengo el acceso de lo contrario si las desencripto aun cuando las mande como tal en el server no pasarán y no podre loguearme y si desactivo el javascrip no podre loguearme

Segundo posibilidad, el "live HTTP headers" arruina todo, bueno en este punto, el que te quiera arruinar el trabajo lo intentara de muchas formas, intentara romper encriptaciones, inyectar código, intentara robarle las claves a algún usuario, en fin hay demasiadas posibilidades.
es difícil tratar de evitar este tipo de acciones, lo mejor es tratar de cerrar todas las puertas posibles y no solo el de los pass, preocúpate mas por el servidor y que el cliente se ocupe de cuidar sus claves.

espero te sirva mi comentario.

saludos.

ivanfisi · #3 (**permalink**) 14/04/2011, 17:35

Muchas gracias por responder.Claro estoy de acuerdo con lo que planteas, pero cuando tu entras a alguna pagina y se te carga un formulario en el action va el archivo.php al que se va enviar los datos, pero es el servidor el que recibe esta solicitud por eso mi pregunta hiba por ahi de alguna manera o en algun lado del apache capturar esa solicitud desencriptarla y reenviarla a su verdadero destino.

Bueno he estado buscando alguna posibilidad pero no encuentro la luz.

de nuevo muchas gracias

NUCKLEAR · #4 (**permalink**) 14/04/2011, 17:50

Para que pierdes el tiempo en eso?
si plantearas lo que te motiva a hacer eso quizas te pudiera dar algunas pistas. O alguien mas.

Triby · #5 (**permalink**) 14/04/2011, 17:53

Supongo que lo que quieres hacer es evitar ingresos no autorizados al formulario... lo mas recomendable y seguro es que uses sesiones. Aqui mismo en FDW hay muchos aportes para manejar autentificacion de usuarios, solo usa el buscador.

Si no va por ahi el tiro... esperaremos aclaracion.

eits · #6 (**permalink**) 14/04/2011, 17:54

lo que pasa es que tu solo pones eso, pero el navegador cuando hace la solicitud anexa http://www.tudominio.com/tupagina.php, es por eso que sabe a donde ir y que solicitar, si encriptas el action como por ejemplo

Código HTML:

Ver original<form action='tvp4g1n4.php'>
... datos del formulario
</form>

intentara llamar a http://www.tudominio.com/tvp4g1n4.php, tal vez va por allí la respuesta a tu pregunta, quizá con el .htaccess y el mod rewrite en apache te de la solución, que capture la página y redirija, pero no se mucho de eso asi que doy paso a los expertos.

saludos.

PD: no le veo mucho sentido hacer eso.

Triby · #7 (**permalink**) 14/04/2011, 18:12

eits, de acuerdo contigo en que no tiene sentido, porque, por muy "codificada" que este la pagina, va a llevar a donde mismo.