Encriptar contraseña con SHA1 en JSP con JavaScript

Windu · #1 (**permalink**) 15/04/2011, 17:58

Hola, tengo un formulario de login/password y una duda que me ha surgido y que no he logrado resolver es cómo encriptarla con SHA1. He buscado tutoriales pero no encuentro ninguno que sea claro.

Existe alguna manera sencilla de hacerlo con JavaScript usando la etiqueta ONFOCUS y llevando el texto de la contraseña a una función JavaScript?

Existe también alguna forma de hacerlo en Java para que el usuario administrador a la hora de generar una contraseña sea la misma y se corresponda el código hash generado?

Muchas gracias!

Denis127_2 · #2 (**permalink**) 18/04/2011, 05:00

Claro que se puede hacer.

Mira este link

http://jssha.sourceforge.net/

nup_ · #3 (**permalink**) 18/04/2011, 16:54

Hola Windu:

Podrías explicar mejor porque necesitas hacer el sha1 de la contraseña del usuario en javascript??
No conozco los detalles de tu aplicación pero no me parece q hacer eso le vaya a añadir más seguridad a tu sitio.
Usualmente eso se hace del lado del servidor:
- Se toma la contraseña del usuario
- Se le saca el sha1 y se compara contra el sha1 almacenado en la Base de Datos

Para varias implementaciones del sha1 en java:
http://www.google.com/search?q=sha1+...utf-8&oe=utf-8

saludos;

Nup_

Windu · #4 (**permalink**) 19/04/2011, 08:42

La contraseña debe ser enviada por la red, por lo que imagino que será mejor encriptarla en el cliente que en el servidor.

Gracias!

nup_ · #5 (**permalink**) 20/04/2011, 07:56

Hola:

En ese caso, enviar el sha1 de la contraseña por la red no te brinda más seguridad que enviar la contraseña en texto plano.
¿Qué evita q un atacante capture el sha1 de la contraseña y lo envíe él?
Al final en el servidor, cuando recibas el sha1, vas a compararlo contra el q tienes en la base de datos.
Es como si ese sha se convirtiera al final en la contraseña del usuario.

La mejor forma de resolver ese problema es usando HTTPS.

saludos;

Nup_

Windu · #6 (**permalink**) 20/04/2011, 08:16

Cita:

Iniciado por nup_

Hola:

En ese caso, enviar el sha1 de la contraseña por la red no te brinda más seguridad que enviar la contraseña en texto plano.
¿Qué evita q un atacante capture el sha1 de la contraseña y lo envíe él?
Al final en el servidor, cuando recibas el sha1, vas a compararlo contra el q tienes en la base de datos.
Es como si ese sha se convirtiera al final en la contraseña del usuario.

La mejor forma de resolver ese problema es usando HTTPS.

saludos;

Nup_

Entiendo bien tu planteamiento. ¿Conoces algún tutorial sencillo para implementar SSL desde JSP?

Muchas gracias.

Un saludo.

nup_ · #7 (**permalink**) 20/04/2011, 08:49

Hola:

No es desde JSP sino en el servidor web q estés usando y no es SSL sino HTTPS (SSL es uno de los protocolos sobre los q funciona HTTPS).

Para el servidor web Tomcat puedes ver estos enlaces:
http://www.locualo.net/programacion/.../00000081.aspx
http://libra.dif.um.es/~edumart/asig.../TomcatSSL.pdf

Si tienes otro servidor web busca en Internet como activarle soporte para https.

saludos;

Nup_