Seguridad en mis formularios

nitsuga1986 · #1 (**permalink**) 04/10/2012, 01:26

Hola, estoy haciendo un formulario de registro en PHP y me gustaría aplicarle algo de seguridad...ahora mismo la unica "seguridad" que tiene es que la contraseña del usuario esta encriptada en mD5 en la base de datos, pero claro, lo que trato es que no capturen la contraseña, los datos los mando por post, pero esto no son medidas suficientes.
He oido hablar de los certificados SSL, en mi hostinh (banahosting) hay una seccion de seguridad en la que puedo crearme una KEY y generar un CSR pero me suena todo un poco a chino, contacte con ellos, y me dijeron que tendria que comprar una IP dedicada (2$ al mes más) y luego comprarles un certificado..

Esto que significa? obviamente entraria a mi formulario por https en lugar de http, pero al hacer esto, me saldria el tipico mensaje de este certificado no ha sido validado...etc o al comprarles a ellos el certificado, al poner yo https://midominio.com, no saldria nada, y se veria normal?

Tambien me gustaria saber si en mi website tengo que hacer algo mas, o simplemente, con instalar los certificados, ya podria entrar por https..

Muchas gracias por adelantado,
Un saludo

DoHITB · #2 (**permalink**) 04/10/2012, 04:29

Buenas!

El tema de la seguridad (a mi entender) es uno de los temas de los que más discusión puede haber...

Lo que comentas del md5 es imprescindible (me refiero al hecho de guardar contraseñas guardadas de manera cifrada).

Yo actualmente trabajo en un proyecto desde hace varios meses. En éste uso PHP para la parte de web, y en cuanto a seguridad se refiere, y hablando de contraseñas (quizás uno de los elementos más importantes de un user) lo que hago es:

Por una parte tengo la contraseña del usuario guardada de manera críptica (md5, sha1, sha256...)

A la hora de recuperar los datos, si son correctos, los guardo en sesión (usando $_SESSION), pero no de manera plana. Usando un algoritmo codifico esos valores para que queden completamente ilegibles. Este algoritmo es de "ida y vuelta", es decir, se puede deshacer. Pero el valor más cercano que se puede conseguir es un cifrado del original.

El tema de los certificados, no estoy muy al día (estoy en proceso, jeje). Pero tengo entendido que usando https (osea, Secured http) el envío de datos se hace de manera cifrada, por lo que un tercer usuario no podría "comprender" los datos que estás enviando.

Usar un certificado para una página de login es una muy buena práctica. Digo solo la página de login porque el HTTPS ralentiza un poco la velocidad de la web.

Espero poder haberte ayudado en algo.

Saludos

nitsuga1986 · #3 (**permalink**) 04/10/2012, 05:54

Pero claro..como codificas los datos de vuelta? Pk el problema esta en k si tu metes user y pass en un formulario de registro..y lo pasas con post ...alguien con un sniffer podría coger esos datos..aunk los encriptes..ya que si los encriptas antes de enviarlos al PHP el sniffer cogera la contraseña encriptada y seria lo k le pasaría al PHP..luego creo k no hay forma de pasar los dato seguros siin usar un https ..de ahí mi pregunta de:
Cuales son los pasos para que mi dominio tenga un certificado SSL?

He encontrado una web k por 7$ t proporcionan un certificado...