Foros del Web » Programando para Internet » PHP »

Pueden explicarme la mente criminal

Estas en el tema de Pueden explicarme la mente criminal en el foro de PHP en Foros del Web. Hola amigos del foro. Me encargaron hacer un sitio web un poco complejo y tiene un sistema de usuarios. Pero ahora que estoy haciendo la ...
  #1 (permalink)  
Antiguo 26/01/2006, 15:35
Avatar de erichfrom  
Fecha de Ingreso: octubre-2004
Mensajes: 147
Antigüedad: 13 años, 1 mes
Puntos: 1
Pueden explicarme la mente criminal

Hola amigos del foro.
Me encargaron hacer un sitio web un poco complejo y tiene un sistema de usuarios. Pero ahora que estoy haciendo la opción para recuperar contraseñas olvidadas me encuentro con el dilema de usar o no usar la funcion md5.

Mi pregunta es: ¿que tan vulnerable se vuelve el sistema si no tiene encriptadas las contraseñas?

¿Cómo un hacker destructor podría dañar el sitio web?
  #2 (permalink)  
Antiguo 26/01/2006, 15:46
Avatar de nicolaspar  
Fecha de Ingreso: noviembre-2004
Ubicación: Villa Ballester Bs-As|Ar
Mensajes: 2.002
Antigüedad: 13 años
Puntos: 34
Si no encriptas los passwords, cualquier persona que vea la db sabra los datos privados de los usuarios, no tiene por que ser un "hacker", sino algún empleado o quien quiera.
Realmente ni siquiera vos deberías saber este dato, ya que muchos usan el mismo usuario y pass en muchos sitios, y miles de escusas mas, encriptándolo no lo sabría/veria nadie.
Si alguien te "roba" la db dejarías expuestos a todos los usuarios a que ingresen por esta persona. Igual es mas privacidad que seguiridad el tema de encriptar un pass, o eso creo.

A tu pregunta concreta... De que te sirve, por decir, la db de hotmail si no tenes los password mas que para hacer, por decir, spam?
__________________
Mi punto de partida es Que Bueno Lo Nuevo
  #3 (permalink)  
Antiguo 26/01/2006, 15:48
Avatar de pzin
Moderata 😈
 
Fecha de Ingreso: julio-2002
Ubicación: Islas Canarias
Mensajes: 10.462
Antigüedad: 15 años, 4 meses
Puntos: 2097
No creo yo, que nadie pueda dañar una página usando la cuenta de algún usuario. Quiero decir, que al fin y al cabo, solo podrá hacer lo que un usuario "normal" puede llegar a hacer.

Yo por lo general, no uso md5 para sistemas de usuario, aunque, si para páginas de administración para clientes.
  #4 (permalink)  
Antiguo 26/01/2006, 15:50
Avatar de mauled  
Fecha de Ingreso: marzo-2005
Ubicación: Cd. de México.
Mensajes: 3.001
Antigüedad: 12 años, 9 meses
Puntos: 33
Exclamación

Es muy peligroso que no encriptes el password de tu usuario puesto que existen programas que capturan el trafico de la red, por lo que podrian interceptar la contraseña de el usuario.
  #5 (permalink)  
Antiguo 26/01/2006, 15:57
Avatar de nicolaspar  
Fecha de Ingreso: noviembre-2004
Ubicación: Villa Ballester Bs-As|Ar
Mensajes: 2.002
Antigüedad: 13 años
Puntos: 34
Queeee?????
Si el password no viaja encriptado al, por ejemplo, loguearte (a no ser que trabajes con https).

Con lo que dice BoNeZ es verdad, pero nuevamente, si se puede, es mejor darle la seguridad al usuario de que nadie conoce su password.
__________________
Mi punto de partida es Que Bueno Lo Nuevo
  #6 (permalink)  
Antiguo 26/01/2006, 21:38
Avatar de dopon  
Fecha de Ingreso: julio-2005
Ubicación: Cucuta / Colombia
Mensajes: 493
Antigüedad: 12 años, 4 meses
Puntos: 1
opcion

a)cuando deseen recuperar la contraseña generar una aleatoriamente que se envie al correo
b) usar mcrypt los datos estaran encriptados pero sera reversible ;) asi te roben la DB el que la robe encesitara saber la llave con la cual sencriptan para poder desencriptarlos
  #7 (permalink)  
Antiguo 27/01/2006, 05:03
Avatar de JorgitoAlfajor  
Fecha de Ingreso: enero-2006
Mensajes: 152
Antigüedad: 11 años, 11 meses
Puntos: 1
Cita:
Iniciado por nicolaspar
Queeee?????
Si el password no viaja encriptado al, por ejemplo, loguearte (a no ser que trabajes con https).
Eso es cierto, y la utilización de https creo que es lo mejor, pero si no querés meterte en este tema una alternativa sería encriptar la contraseña en el cliente utilizando javascript.
En http://pajhome.org.uk/crypt/md5/ podes encontrar funciones que hacen esto. Igualmente, esta alternativa no es la mejor, pero es mejor que nada. Saludos.
__________________
¿Se me entiende la letra?
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 14:13.