contraseñas en formularios de registro

lord_alvar · #1 (**permalink**) 30/07/2007, 11:11

bueno, mi pregunta esta relacionada con la encirptacion y envio de contraseñas al registrarse

cuando alguien se esta registrando n una pagina q tiene las contraseñas encriptadas en la base de datos, lo q se suele hacer es encriptarla con javascript para enviarla encriptada y q compare con la almacenada en la BD, para evitar q un tercero pille la contraseña.
la primera pregunta q tengo es ¿de q sirve encriptar de lado del usuario? porque si esa tercera persona la pillase (ya fuese encriptada o no), solo tendria q encontrar el modo de mandarla a comparar con la base de datos saltandose la encriptacion del lado del usuario (cierto q con eso se reduce el numero de personas q puedan ser capaces de usar la contraseña, pero alguien q sepa de programacion web no tendria problemas)

esa era una duda, a evr si alguien puede responderme algo q no halla visto yo mismo
la otra pregunta seria q, al crear un formulario de registros para una pagina, el usuario intruduciria la contraseña q quiere poner en el cajetin. al enviar el formulario haces q la contraseña se encripte, la meta en un hidden y la envie, PERO la cuestion es q al enviar el formulario entero tmb se enviaria el cajetin sin encriptar de la contraseña, asi q ya me direis de q sirve encriptarla si se mandaran las 2...
mi pregunta es: ¿hay alguna forma de elegir q datos son enviados al hacer un submit del formulario?
(se me ocurrio q despues de encirptar y antes de enviar el cajetin de contraseña se quedase en blanco, mandando un valor vacio "", pero me gustaria una manera algo menos.....bruta... xD)

muchas gracias a quien responda

:.SMITEXX.: · #2 (**permalink**) 30/07/2007, 11:17

Creo que en el foro de php o asp te pueden ayudar más fácil....

lord_alvar · #3 (**permalink**) 30/07/2007, 11:27

ese seria un caso, pero estoy preguntando por el lado del cliente, no del servidor

es decir, la utilidad de encriptar contraseñas del lado del cliente al hacer un nuevo registro, y como se podria elegir q informacion enviar y cual no al hacer un formulario

creo q en principio no seria necesario ni siquiera javascript, por eos lo puse aqui

AlZuwaga · #4 (**permalink**) 30/07/2007, 11:37

Cuál info enviar y cuál no de un formulario?
Se me ocurre que no se puede, estrictamente hablando, pero lo podés emular con javascript haciendo una función que al submit "limpie" el campo con la contraseña original (la no encriptada)... se envía, pero vacío.

Ahora... ¿vale la pena? Digo, ¿vale la pena encriptar en el cliente? ¿Qué pasa con los navegantes que no tengan javascript [habilitado]? Pues.. que se saltean la encriptación.

Supongo que en cuestiones de seguridad, lo ideal es hacer suo del protocolo https... el resto es gilada ;)

lord_alvar · #5 (**permalink**) 30/07/2007, 12:06

vamos, q entonces tocara hacer la forma bruta de limpieza de campos, xD

y en cuanto al envio de contraseña seria cosa de usar un protocolo de seguridad... pero entonces, si estas usando SSL para asegurar los datos enviados, ¿de q serviria la encriptacion? ¿solo para evitar q la contraseña la sepan aquellos con acceso a la base de datos?
(bueno, para eso y para evitar q te vean la contraseña real, porque igualmente alguien q lo intercepte podria usarla aun estando encriptada con un hash)