Ayuda con encriptación

ing_aprendiz · #1 (**permalink**) 25/01/2006, 19:17

hola a todos ... espero que este muy bien y que este nuevo año haya comenzado maravillosamente... por mi parte les cuento que tengo un grave problema estoy tratando de encriptar la contraseña en mi sitio pero baje un codigo que no he podido aclopar... he intentado diversas maneras y no he logrado hacerlo..... lo que tengo es un archivo denomindado md5.js y para embeberlo a mi página supuestamente tengo que escribir en javascript:

contraseña = hex_md5(" contraseña ");

pero mi problema es que necesito encriptar la contraseña cuando creo un nuevo usuario y esa inserción la hago en php y no se como acoplar este codigo en javascript a php para poder tener el valor de la contraseña encriptada... trate hacer una función javascript que retornara la contraseña encriptada pero no logro asignarle ese valor a una variable php para poderla bajar a la base de datos....

intente con la función php md5... con esa no hay lio pero lo uqe pasa es que esa solo encripta al lado del servidor y el codigo en javascript md5.js encripta desde el cliente.....

si me pueden ayudar se los agradeceria o si me aconsejan otra manera de encriptar....

califa010 · #2 (**permalink**) 25/01/2006, 19:33

No tengo demasiada experiencia con encriptación, pero por lo que ví, lo más común es usar md5 de php. Javascript en realidad no hace falta, me parece. Además, es código del lado del cliente, por lo cual se puede alterar con facilidad y entonces, como seguridad, dejaría huecos.

Seguramente hay muchas formas de hacerlo, pero la que vi usaba simplemente md5 al registrar la contraseña en la base. Después, cada vez que alguien se loguea, escribe su contraseña normalmente y el script que recibe los datos del formulario le pasa el md5 a la contraseña antes de hacer la consulta. Lo que se busca evitar con esto es que alguien pueda "robar" una contraseña de la base. Por más que la tengan, no sirve, porque el hash no se puede "revertir" (bueno, creo que en China lo lograron y 100% seguro no es nada, pero el punto es que desencriptar el hash es muy difícil y no está al alcance de cualquiera).

El problema que queda, claro, es que el tráfico cliente/servidor no está encriptado y se puede "escuchar" con un sniffer. Si yo mando a través de un formulario mi contraseña, pongámosle y alguien la intercepta, ya está adentro. Para evitar eso, tengo entendido, la alternativa es usar SSL (protocolo https en vez de http), que encripta el tráfico cliente/servidor. Que es lo que hacen gmail o hotmail, por ejemeplo, para el paso del login (después es http).

Justamente ahora estoy investigando este tema de las conexiones encriptadas pero recién estoy empezando así que no tengo mucha idea. Pero me parece que podrías buscar por ahí.

Suerte
Califa

nuevo · #3 (**permalink**) 25/01/2006, 19:54

pq no envias ese password en md5 desde el js a php mediante cookies... no te lo aconsejo, ya q sera almacenado ese dato en la makina del usuario... lo suyo es usar php directamente.

Código PHP:

   
echo $_COOKIE["valorPasswdMd5"];

pero lo suyo es asi... si tu formulario es mediante POST, lo mas seguro...

Código PHP:

   
if(empty($_POST['valorPasswdMd5'])){ 
echo "Error: no llega el password"; 
exit; 
} 
 
//lo encriptamos en md5 
 
echo md5($_POST['valorPasswdMd5']);