Foros del Web » Programando para Internet » PHP »

sugerencia con encriptacion de datos

Estas en el tema de sugerencia con encriptacion de datos en el foro de PHP en Foros del Web. Saludos, les cuento actualmente tengo realizada una aplicacion sencilla en donde se ingresa el login y clave de un usuario para que pueda ingresar al ...
  #1 (permalink)  
Antiguo 13/03/2006, 09:36
 
Fecha de Ingreso: agosto-2005
Ubicación: Quito, Ecuador
Mensajes: 255
Antigüedad: 12 años, 4 meses
Puntos: 0
sugerencia con encriptacion de datos

Saludos, les cuento actualmente tengo realizada una aplicacion sencilla en donde se ingresa el login y clave de un usuario para que pueda ingresar al sistema, el problema esta en que al momento de presionar aceptar en la patalla de logueo del browser la clave viaja sin cifrar hasta llegar a una funcion de encriptacion en el servidor y en el servidor es en donde se cifra la clave. Intente creando dentro de la pagina de logueo una funcion que cifre la clave pero es el mismo resultado ya que el cifrado en si se realiza en el servidor, Si alguien me da una sugerencia de como puedo evitar que mi clave viaje sin cifrar hasta llagar al servdior les agradeceria muhisimo.
  #2 (permalink)  
Antiguo 13/03/2006, 09:46
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Para eso debes usar SSL (Secure Socket Layer) .. (https://). El "SSL" cara a PHP trabaja de forma transparente pues es un "módulo" que tiene que tener instalado tu servidor HTTP y de ahí es donde el cliente (tu navegador) encrita su parte y la transmite encritada al servidor (a tu servidor HTTP) entregando este al lenguaje del lado del servidor (PHP, Perl .. etc) el dato "desencriptado" de forma totalmente transparente.

También podrías encriptar vía javsacript en el cliente tus datos y enviarlos encriptados. Pero esto no es nada seguro y para eso está el standard "SSL" con codificaciones de 128 bits por ejemplo ....

Un saludo,
  #3 (permalink)  
Antiguo 13/03/2006, 09:48
 
Fecha de Ingreso: agosto-2005
Ubicación: Quito, Ecuador
Mensajes: 255
Antigüedad: 12 años, 4 meses
Puntos: 0
ok es de mucha ayuda tu informacion t agradesco por tu tiempo
  #4 (permalink)  
Antiguo 13/03/2006, 09:49
 
Fecha de Ingreso: diciembre-2004
Mensajes: 36
Antigüedad: 13 años
Puntos: 1
De acuerdo La encriptación debe ser desde tu pagina web

Hola Alexo:

Yo de manera personal he diseñado una pagina web que trabaja con un login y password. el cifrado lo hago desde mi pagina de logeo primero capturo el valor introducido en el campo password y lo inserto en la funcion de encriptacion crypted_md5() el resultado que devuelve es a la vista basura, y con ese resultado yo hago la consulta a la base de datos. La idea de mandar la contraseña sin cifrar directo a la base de datos y luego allí cifrarlo te puede causar problemas con respecto a la seguridad de tus passwords, para mi opinión personal preferiría cifrarlo antes que llegue a la base de datos. bye

Espero haberme hecho entender y espero haber respondido a tu duda.....!
  #5 (permalink)  
Antiguo 13/03/2006, 09:51
Avatar de ProgramacionWeb  
Fecha de Ingreso: junio-2003
Ubicación: Barcelona
Mensajes: 176
Antigüedad: 14 años, 6 meses
Puntos: 2
Puedes codificar la contraseña en el navegador (con MD5 por ejemplo), existe una implementacion OpenSource de MD5 en js: http://pajhome.org.uk/crypt/md5/
__________________
Foros en los que participo:
  #6 (permalink)  
Antiguo 13/03/2006, 10:13
 
Fecha de Ingreso: agosto-2005
Ubicación: Quito, Ecuador
Mensajes: 255
Antigüedad: 12 años, 4 meses
Puntos: 0
Hola jhonnysoft:
entonces a lo que tu te refieres es que ponga el codigo de cifrado dentro de la pagina de logueo de mi aplicacion para que viaje la clave cifrada al servidor..
  #7 (permalink)  
Antiguo 13/03/2006, 10:25
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Creo que el problema de "alexo" no es de encriptar los datos en el "servidor" sino del paso de datos entre cliente-servidor ..

Sigo insistiendo que el "standard" de seguridad ya existe .. se llama SSL y es cierto que esto viene con un "certificado" que se ha de adquirir al organismo oficial que los distribuye y eso cuesta $$$ pero asegura que quien emite esos datos es quien dice ser (además de la encriptación en sí que aporta la "seguridad" ..).

Un saludo,
  #8 (permalink)  
Antiguo 13/03/2006, 11:06
 
Fecha de Ingreso: agosto-2005
Ubicación: Quito, Ecuador
Mensajes: 255
Antigüedad: 12 años, 4 meses
Puntos: 0
Si cluster mi problema es que no quiero que mis datos viajes por la red si estar encriptados hasta llegar al servidor, la opcion de usar SSL es muy buena ya que me encripta la informacion para que esta viaje cifrada hasta el servidor, pero como tu dices esto cuesta $$$, ahora esto puede justificarse para ciertos tipos de aplicaciones en la que vale la pena la inversion, pero si existe una alternativa a esta seria ideal, especialmente que no involucre mucho $$$
  #9 (permalink)  
Antiguo 13/03/2006, 11:42
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
Iniciado por alexo
Si cluster mi problema es que no quiero que mis datos viajes por la red si estar encriptados hasta llegar al servidor, la opcion de usar SSL es muy buena ya que me encripta la informacion para que esta viaje cifrada hasta el servidor, pero como tu dices esto cuesta $$$, ahora esto puede justificarse para ciertos tipos de aplicaciones en la que vale la pena la inversion, pero si existe una alternativa a esta seria ideal, especialmente que no involucre mucho $$$
Ok .. el tema de "costos" siempre es importante .. pero también debes tener presente que si optas por otras soluciones No-SSL (como alternativas en javascript) puedes tener problemas de seguridad: simplemente viendo de donde llegan esos datos (página/URL) puedo ir a mirar el código e intentar ver el "algorítmo" que uses para descifrar tus datos ... Ese es un riesgo que corres.

Por cierto .. ten también prestente las técnicas como la que propone "ProgramacionWeb" sobre el uso de MD5() y su implementación en javascript. Ese método es factible sólo para gestionar datos tipo "contraseña" por ejemplo .. donde en la parte "cliente" la contraseña se encripta directamente en MD5 y tu en tu BBDD o donde la almacenes la almacenas directamente y por las propiedades del "hash" MD5 (irreversible) ni tu (administrador de tu aplicación) ni alguien que capture el dato por el camino (cliente-servidor) sabrá que contraseña usastes. Eso sí .. con este método si te capturo el dato por el camino tal cual lo podría usar para autentificarme en el sistema (inyectandolo directo) ¿no? (pregunto .. no sé como trabajan el tema .. supongo que será así?)

Un saludo,
  #10 (permalink)  
Antiguo 13/03/2006, 12:51
Avatar de nosoynadie  
Fecha de Ingreso: noviembre-2005
Ubicación: dando vueltas por aquí
Mensajes: 206
Antigüedad: 12 años
Puntos: 1
Cita:
Iniciado por Cluster
Eso sí .. con este método si te capturo el dato por el camino tal cual lo podría usar para autentificarme en el sistema (inyectandolo directo) ¿no? (pregunto .. no sé como trabajan el tema .. supongo que será así?)
Hola,

sobre este punto leí hace algún tiempo un articulo en el que se proponía el uso de contraseñas de un solo uso. La idea es utilizar md5, sobre javascript, para cifrar la contraseña introducida (nada nuevo por el momento) PERO lo que resultaba interesante es que añadía una elemento 'aleatorio' para no mandar la contraseña 'simplemente' cifrada y así añadrile una 'capa' más de seguridad a los datos que se envían.

El artículo lo podéis encontrar en http://www.usebox.net/jjm/passw/ Espero que os valga de ayuda, ciao
__________________
http://www.nosoynadie.net/
  #11 (permalink)  
Antiguo 13/03/2006, 13:36
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
Iniciado por nosoynadie
Hola,

sobre este punto leí hace algún tiempo un articulo en el que se proponía el uso de contraseñas de un solo uso. La idea es utilizar md5, sobre javascript, para cifrar la contraseña introducida (nada nuevo por el momento) PERO lo que resultaba interesante es que añadía una elemento 'aleatorio' para no mandar la contraseña 'simplemente' cifrada y así añadrile una 'capa' más de seguridad a los datos que se envían.

El artículo lo podéis encontrar en http://www.usebox.net/jjm/passw/ Espero que os valga de ayuda, ciao
Ok, gracias por el artículo.

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:33.