Seguridad en el ingreso de claves

alexo · #1 (**permalink**) 16/04/2007, 09:24

Saludos a todos, bueno mas que una inquietud tengo un pequeño asunto que espero me ayuden si alguien seguro ha pasado por esto. Bueno tengo un sistema el cual pide un login y un password para ingresar al sistema, pero mi problema es que el login y el password viajan a traves de la red sin ningun tipo de cifrado lo cual es muy seguro. Encontre una solucion cifrando la clave en el mismo cliente usando una funcion MD5 en java script (enlace) , mi pregunta es que si bien es cierto el codigo javascript se ejecuta en el cliente no sera inseguro que se tenga al codigo de como se realiza el cifrado md5 con javascript.
Bueno a todo esto quisiera saber si esta solucion que estoy aplicando esta bien encaminada o si existe alguna otra forma de poder enviar esta informacion cifrada desde el cliente hasta el servidor. Les agradezco de antemano por sus comentarios.

Raulmmmm · #2 (**permalink**) 16/04/2007, 13:52

Puedes hacer lo mismo con php:

Código PHP:

  <?php 
$nombre=$_POST['nombre'];  
$contrasena2=[B]MD5($_POST['contrasena2'])[/B];  
//conecto con la base de datos 
$conn = mysql_connect("xx","xx","xx"); mysql_select_db("base",$conn);  
//Sentencia SQL para buscar un usuario con esos datos 
$ssql = "SELECT * FROM usuarios WHERE nombre='$nombre' and contrasena='$contrasena2'"; 
 //Ejecuto la sentencia 
$rs = mysql_query($ssql,$conn); 
 //vemos si el usuario y contraseña es váildo 
 //si la ejecución de la sentencia SQL nos da algún resultado  
 //es que si que existe esa conbinación usuario/contraseña  
  if (mysql_num_rows($rs)!=0){ 
  session_start(); 
 session_register("nombre"); 
$_SESSION['nombre'] = $nombre; 
session_start(); 
 session_register("contrasena"); 
$_SESSION['contrasena'] = $contrasena2; 
echo 'Ya has entrado'; 
echo '<a href=registrarse.php>Volver</a>'; 
}else{ 
echo 'Lo siento, pero tu nombre de usuario o tu contraseña están mal.'; 
echo '<a href=registrarse.php>Probar otra vez</a>'; 
} 
?>

alexo · #3 (**permalink**) 16/04/2007, 14:54

Tengo una pequeña inquietud con respecto a tu respuesta, si en una pagina ingreso mi clave en el cuadro de texto, esta clave no viajaria sin encriptar por la red hasta el servidor??
MD5($_POST['contrasena2'])
hasta que en el servidor se ejecuta la sentencia MD5 para cifrarla???

kaninox · #4 (**permalink**) 16/04/2007, 15:02

bueno de eso en cierta parte se encarga el tipo de server que tengas, si te has dao cuenta grandes como gmail hotmail tiene server son seguridad por ello te topas con https//: ya viaja encriptado todo dato por la url, por ej. ahora cuando tu haces

formulario
input contraseña
y en tu segunda pagina donde conviertes a md5

$contrasena = md5($_POST[contrasena2]);

la encripta automaticamente para trabajar
$contrasena ya esta encriptada con ella trabajas y haces tus consultas,
ya para obtener los datos de otra forma los crackers, hay debes aplicar otro tipo de seguridad a tu script como, magic quotes por ej, anti flood etc...

edito: por lo demas te recomiendo trabajar con sha1 ;)

alexo · #5 (**permalink**) 16/04/2007, 15:08

Bueno eso es correcto si tengo un canal seguro no tengo problemas con eso, entonces en conclusion lo mejor es usar un protocolo seguro https:// para estas operaciones y en caso de no tener este https, una buena alternativa es usar las funciones en el cliente con javascript como describi al inicio... si me equivoco les agradezco que me corrijan...