Seguridad en acceso de usuarios

netomo · #1 (**permalink**) 05/02/2009, 19:17

Tengo muchas dudas acerca de la autenticacion de usuarios... en una web como esta (forosdelweb) donde el login no pasa por ningun tipo de coneccion cifrada ni nada, mi usuario y contraseña va por post imagino, si es asi esta yendo dentro de una peticion http al servidor, cosa que es super insegura, porque es casi como texto plano...

Si pretendo implementar una web con autenticacion segura estoy obligado a usar SSL? que alternativas hay? alguien que me explique esto como para novatos pero fundamentando un poco si no es mucho pedir... gracias.

mariano_donati · #2 (**permalink**) 06/02/2009, 07:05

Una alternativa es encriptar los datos sensibles en el cliente para que sean enviados de esta forma al servidor. También guardarlos en la base de datos encriptados. En mi caso, trabajo con php y hago la encriptación con la función MD5. Por supuesto, usando Ajax. De todas formas, viene una implementación del mismo algoritmo en javascript, por lo que no habría necesidad de usar Ajax para encriptar el password.
Saludos.

netomo · #3 (**permalink**) 06/02/2009, 11:40

Gracias Mariano, estaba un poco desesperanzado de ver repuestas, estoy encargado de realizar el modulo de usuarios en un sistema, y estaba preocupado por ese tema.

Claro podria hacerlo en el cliente pero por ejemplo MD5 es un Hash, eso no me deja saber el valor original, en la contraseña no importa pero en lo demas campos si, ademas si siempre mando la contraseña al servidor defrente como hash seria lo mismo porque me capturan el hash y se acabo, no necesitarian saber la contraseña porque con esa cadena ya el sistema permitiria autenticar :( no se, tengo muchas dudas, estoy investigando un poco del tema haber que encuentro, mientras estoy un poco estancado.

mariano_donati · #4 (**permalink**) 07/02/2009, 04:02

No necesariamente. Supongamos que te capturaron la cadena md5 del pass que enviaste. Si la única forma de acceso que le das a tus usuarios es a través de un formulario de login, entonces el "capturador" tiene que pegar esa cadena en el campo correspondiente y luego enviar el formulario al servidor. Pero antes de hacer esto, vos tendrias que hacer md5(campo_password), y ahí la cadena resultante no va a concordar con la que tenes en tu base de datos, ya que es como que le estás aplicando md5 dos veces a una cadena. La cadena resultante es totalmente distinta a la original.
Con respecto a otros datos, eso si que es todo un tema. Supongo que ahí si una de las mejores alternativas son los servidores seguros.
Saludos.

netomo · #5 (**permalink**) 08/02/2009, 21:38

Gracias Mariano, si es un poco probematico pero ya estoy entendiendo, cuando me quede masomenos claro publicare algo aqui ;). Lastima que no tengo blog. :(