[Php-avanzado] seguridad md5()

Jue Mar 12 03:23:34 ARST 2009

Hola Gabriel,

El jue, 12-03-2009 a las 02:20 -0300, Gabriel Cappellano escribió:
> Hola! que tal! les escribe gabriel!
>  
> queria saber si es seguro la codificacion de un password mediante la
> funcion de php md5(), al momento de registrar un usuario. Es posible
> que te pesquen la contraseña al enviar los datos al servidor, antes
> que la funcion lo codifique??? lei un poco en internet, y una
> instancia mas de seguridad seria codificar por medio de JavaScript.
> Encontre esta funcion http://pajhome.org.uk/crypt/md5/md5.js, pero no
> logro hacerla funcionar....  O será que ando paranoico? jaj
>  
> Alguien puede compartir su experiencia personal, o algun ejemplo de la
> fusion de la funcion en javascript con php...

	Para tener una seguridad razonable, el sitio debe estar en https en vez
de http. No hay que cambiar nada en el código, sino que es un cambio en
el servidor.
	Para tu caso, no debería ser demasiado problema que el usuario al
loguearse lo haga en texto en claro. Lo importante es que no guardes en
la PC ese dato, y que la clave esté en un campo passwd, que los
navegadores no cachean. La otra cosa importante es que la password no
viaje más por la red: depués de logueado te basás en sesiones del lado
del servidor; esto reduce mucho el umbral de posibilidad de
intercepción.

	Todo lo demás que agregués, tanto del lado del cliente como del
servidor, suma, pero no te vuelvas loco: si por ejemplo al cliente le
instalan un keyloguer, no importa lo que hagas ya hay compromiso de
seguridad.

> saludos y espero alguna ayuda!

	=mente!
-- 
Leonardo Tadei
leonardot en pegasusnet.com.ar
http://blog.pegasusnet.com.ar
Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key