PHP - Para qué cifrar la clave si...

   
Vista:

Para qué cifrar la clave si...

Publicado por Victor (1 intervención) el 27/12/2007 07:30:48
Es para programadores... (me he estado leyendo post hasta la página número 20 por si alguien ya había preguntado/mencionado lo que ahora os narro... perdón si me duplico).

¿Para qué me he estado molestando en seguir el script de "Autentificator" creado por Cluster si él guarda las claves en formato md5() pero se envían desde el cliente al servidor en texto plano?

Es decir, ¿de qué me sirve guardar algo cifrado si se retransmite libre.

Después, me quedé pensando y puedo aprovechar un programa JAVA para cifrar en origen la clave y mandarla en ese mismo formato (por ejemplo) a través del puerto 80 y ya en destino se compara sin convertirla ya a md5().

Pero claro, esto ¡¡¡TAMPOCO SIRVE DE NADA!!! pues aunque la retransmisión esté cifrada, si me cogen la clave en md5 o sha1, crypt, rsa etc... SIEMPRE y digo SIEMPRE me pueden interceptar el login (mi_usuario) por ejemplo, y el password (234asdfasklj24234lkj234lñkj3) por ejemplo, y con esos dos datos, siempre, atacar al servidor para acceder a mis mismos lados.

Vamos, que da igual que sea "manolito" o "sd234lñ23f4kj234sad423fñljk" porque sigue siendo algo que al comparar, el servidor va a seguir teniendo en su base de datos.

Con lo que lo único fiable sería una conexión por ssh o ssl.

¿Me equivoco?

¿Alguien me puede razonar mis dudas?

Muchas gracias por adelantado,
Víctor.
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder
información
Otras secciones de LWP con contenido de PHP
- Código fuente de PHP
- Cursos de PHP
- Temas de PHP
- Chat de PHP
información
Códigos de PHP
- Upload de archivos
- Enviar email en php
- chat php

RE:Para qué cifrar la clave si...

Publicado por Diego Romero (1450 intervenciones) el 27/12/2007 10:51:09
Tu razonamiento es correcto.

El cifrado de las contraseñas en el servidor no tienen el propósito que estás pensando, sino evitar que se las roben a posteriori, no durante el proceso de login. Es decir, que por más que te copien el archivo que contiene las contraseñas le sea inútil a quien las robó.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Para qué cifrar la clave si...

Publicado por Martin (3 intervenciones) el 27/12/2007 20:36:50
Es verdad lo que dices. Para darle seguridad te conviene generar un token
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar