Tunait y resto:Password

Elig · #1 (**permalink**) 02/05/2003, 04:57

Me pareció muy interesante, como todo lo que presenta Tunait, en el día de ayer para hacer un poco "más" seguro el acceso con
password mediante JavaScript. Veo que a mucha gente le preocupa. Su extraordinaria explicación viene aquí:

http://www.forosdelweb.com/showthre...threadid=122774

Queridos/as Sabios/as... a la gente también le preocupa poder disponer de distintas claves para acceder a la misma página...
algún modo rudimentario de realizar una función similar a la de una BD.... y yo he pensado

lo siguiente a ver que os parece, además de ver de depurarlo

UNA IDEA EN POCAS PALABRAS PARA CREAR UNA BASE

Creamos una página con dos frames: se llama principal y los frames son arriba(de 1px de alto) y bajo con el resto.

A cada usuario le damos un clave distinta, y por lo tanto le generamos un gif con su clave.

Generamos el típico código de comprobación del gif...

P. Ejempo:

<img src="trampa.gif" name="checker" height="10 px" width="10 px"
onload="test_password()"
onerror="password_error()">

Si la imagen existe, cargamos una página con el target="bajo" que esté en blanco... (

je,je y no sale en la barra de direcciones que continua conservando principal.html)... y esta página al cargar genera una cookie he inmediatamente nos manda a otra página en blanco (por lo que no se nota prácticamente que hemos cambiado de dirección) donde nos valida si existe la cookie o no y nos redirecciona finalmente a nuestra página de destino.

Durante este movimiento rápido de carga...

no da tiempo a ver las propiedades de la página que se ha cargado y de esta manera
ver la dirección. También podemos deshabilitar el boton derecho

.

Sencillo, práctico y evidentemente bastante inseguro

... pero con JavaScript es imposible mejorar.

Veamos entonces los pros y los contras, alguien colabora?

Igual es una chorrada facil de tumbar... por eso os pregunto a los artistas del tema.

tunait · #2 (**permalink**) 31/05/2003, 13:22

Elig,

antes que nada, mis disculpas por haber dejado pasar tanto tiempo antes de ponerme con este post, pero esperando el momento.... han pasado semanas.

En fin, que aquí estoy.

He estado leyendo atenta tu propuesta y, si bien "creo" que no acabo de comprender exactamente la dinámica del sistema que propones (me faltó ver las funciones test_password() y password_error()) creo que la idea es usar por base de datos una serie de imágenes. Es así ¿no?

Bueno, la verdad es que la idea de guardar los pass como nombres de archivo de imágenes me ha parecido cojonuda

Hice algo basándome en la propuesta de las imágenes, a ver qué te parece y si era algo así a lo que te referías

Aquí el ejemplo

Básicamente lo que hace es llamar a una imagen que lleve por nombre el valor introducido en el campo del formulario.

Si la imagen no existe redirecciona a la página denegado.htm
Si la imagen existe, redirecciona a la página ok.htm previa inserción de una cookie sin caducidad, lo que provoca que la cookie tenga vigencia mientras dure la ventana del navegador abierta.

Como es facil ver en el código fuente la página ok.htm, ésta y el resto de páginas que necesiten estar bajo password deberán llevar otro script que verifica la cookie.

Para evitar "listos" que pretendan insertar la cookie por las suyas desde la location del navegador, en la cookie se guarda el valor del password correcto y en cada página que deba estar bajo esa protección, el script sacará la cookie y buscará la imagen con el nombre que encuentre en la cookie. Si la imagen no existe, redirecciona a la página para introducir el password. Si la imagen existe, pues te deja navegar.

Bueno, yá me dirás tus impresiones.

Saludos

Elig · #3 (**permalink**) 31/05/2003, 16:28

Coxonudo... A eso me refería, es un poco rudimentario pero relativamente seguro, y ya sabes que hay mucha gente que no quiere pagar alojamiento con DB y lios de Asp etc...

Yo lo he empledo para controlar unos 100 usuarios de una empresa de fabricación de calzado que tiene el alojamiento free en Telefónica ya que disfruta de la línea ADSL. El problema de esta gente, que aunque les gestiona el dominio, no les da ningún tipo de servicio ASP o cualquier tipo de DB. Lo intenté con brinkster... pero es un rollo. Falla más que un rifle de feria y después está el problema de las variables globales. Vaya que no vale la pena.

CORDIALES SALUDOS, SALUDOS CORDIALES

ocionet · #4 (**permalink**) 31/05/2003, 18:06

Es buena idea esta, pero que les parece si augmenta la seguridad con encriptación md5 ?

Aquí les dejo un script para encriptar texto a md5, md4 y otros.

http://pajhome.org.uk/crypt/md5/index.html

Saludos.

Elig · #5 (**permalink**) 01/06/2003, 02:16

Cuanto más azucar ... más dulce

#6 (**permalink**) 19/06/2003, 16:27

gracias tunait, creo q ya lo he pillado ... voy a probar.

Code · #7 (**permalink**) 19/06/2003, 17:45

Tunait, no conseguí entender muy bien el funcionamiento, pero en tu ejemplo, insertas una imagen que no mide nada, así que no se ve, pero le has insertado un src de antemano.

Aunque no he entendido el funcionamiento de lo que queréis hacer, el problema en tu ejemplo es que si insertas el src de la imagen que has insertado con medidas 0 0, el acceso está garantizado.

Podías explicarme el funcionamiento???

No sé si tendrá sentido lo que digo, pero lo digo

Elig · #8 (**permalink**) 20/06/2003, 05:04

Es muy sencillo.

Creamos una imagen gif... totalmente transparente... de una medida muy pequeña con el nombre de la página que vamos a cargar:

p.e.

"clave.gif"

Creamos la página de destino "clave.html"

pedimos el password y comprobamos el resultado. Si lo hiciéramos directamente cargando una página que se llame

nombre_password_seleccionado + ".html"

y no existiera esta página ( o lo que es lo mismo el paswword introducido es incorrecto) nos devuelve el típico "404 NOT FOUND".

De la otra manera, como si existe control sobre el error en la carga de una imagen, controlamos o filtramos primero si el "html" existe, ya que hay creada una imagen "gif" con el mismo nombre.

PROCESO:

<IMG id="imagen_clave"SRC="LOQUESEA.GIF" style="position:absolute;> -------------- lo colocas donde quieras.

Pedimos un Password y lo enviamos a una funcion que nos ace lo siguiente:

cambia la imagen "imagen_clave" por otra que se llama lo_que_se_ha_introducido_en_el_pasword + ".gif"

****** préviamente se ha creado la página a la que se accede con una clave y por lo tanto la imagen, como te expliqué, con el mismo nombre de la página pero, evidentemente, con la extensión "gif" ********************************

Se comprueba si carga la imagen o devuelve error. Mira arriba donde viene como se comprueba esto.

SI LA IMAGEN NO SE CARGA: por lo tanto no existe... direccionamos a donde queramos... provocamos un alert("Passsa tio, no diste con la clave!!!")

SI LA IMAGEN SE CARGA(el usuario no la ve): Como sabemos, si no somos muy burros y nos hemos equivodado y no hemos creado la página de destino "html", al cargarse la imagen y no devolver error, es que el fichero con la extensión "html" y con el nombre de la clave existe... así que tranquilamente y controlando donde vamos...

zasss... imponente manibro... y direccionamos a

nombre_de_la_clave_introducida + ".html"

Y los hismos...

Para cualquier duda consulta... que está funcionando muy bien por varios sitios

Saludos

Appletalk · #9 (**permalink**) 06/02/2005, 15:29

Buena idea