Enlaces
Esta en:

documentos
Arriba
Bind-9
Bind-8
Ad+bind
Dhcp
Kdephp
Shell
Trucos
Php
Documentos
Cuestiones php
Fedora
Legal
W2000 xp
COMOS
Errores dns

RE: [PHP-ES] Cómo proteger la contraseña cuando no se dispone de SS L

Write haof XML files: Reynier Perez Mira <rperezm_at_estudiantes.uci.cu>
Fecha: Tue, 25 Apr 2006 22:03:59 -0400

Hola Satyam y demás:
Es una forma interesantisima de proteger los datos. Ahora creo que hay algunas cosas que no se como hacerlas y expongo debajo:

> a) crear una sesion
Aqui no tengo problemas.

> b) generar un unique_id(), y guardarlo en la sesion
Aqui no tengo problemas.

> c) enviar el unique_id() generado como una constante de JavaScript
¿Cómo puedo hacer esto?

> a) calcular el MD5() de la contraseña ingresada, previo haber
> truncado los
> espacios en blanco en los extremos. Esto debería producir el
> mismo valor
> que el que está almacenado en la base de datos.
Aqui no tengo problemas pero por si acaso eso se hace usando la implementación de MD5 con JavaScript, ¿no?

> b) concatenar el unique_id() provisto por el servidor con este valor
Aqui no tengo problemas. Pero la duda es si para concatenar puedo usar cualquier caracter, digamos "_", "-" o cualquier otro?

> c) calcular el MD5() de esto
Aqui no tengo problemas.

> d) poner este valor en el campo de contraseña original y
> dejar que siga el
> submit.
Aqui no tengo problemas.

> a) busca el valor de la contraseña encriptada en al base de
> datos, basado en
> el ID de usuario. Este valor es la contraseña ya encriptada con MD5()
Aqui no tengo problemas.
> b) concatenar este valor con el unique_id() guardado en la sesion
Aqui no tengo problemas.
> c) calcular el MD5() de esto
Aqui no tengo problemas.
> d) comparar con el valor recibido. Si son iguales, se
> originaron a partir
> de la misma contraseña.
Aqui no tengo problemas.

Salu2 y espero por sus respuestas

-- 
ReynierPM 
Moderador Lista PHPCuba
https://listas.softwarelibre.cu/mailman/listinfo/php 
> 
> En caso de fallo, el servidor puede calcular el MD5 de la contraseña 
> recibida con el valor guardado en la base de datos (que ya 
> tiene aplicado el 
> MD5).  Si son iguales, es que el navegador del usuario tiene 
> inhabilitado 
> JavaScript.  Qué hacer en ese caso, es cuestión del administrador del 
> sistema, de todas maneras, el password ya ha sido transmitido 
> en claro.
> 
> Si falla también esto, permitirá una cantidad limitada de reintentos 
> generando en cada ocasión un unique_id() nuevo pero 
> manteniendo la misma 
> sesión (generar una sesion nueva no ofrece mayor seguridad).  
>  Una llamada a 
> sleep() entre un intento y otro puede ser conveniente, nada 
> molesta tanto a 
> un programa haciendo un ataque masivo como una demora.  La 
> demora puede ser 
> proporcional al numero del reintento.
> 
> Satyam
> 
> 
> 
> 
-- 
PHP Spanish Localization Talk Mailing List (http://www.php.net/)
To unsubscribe, visit: http://www.php.net/unsub.php
Nearby mié abr 26 2006 - 06:23:21 CEST

Este archivo fue generado por hypermail 2.2.0 : mié nov 07 2007 - 20:55:35 CET


Página Principal
Google

Web
dns.bdat.net

Visita nuestro proveedor:
www.bdat.net

Publicidad:

Impresenteibols:Humor Jazz, música en vivo