[Php-avanzado] seguridad md5()

Gabriel Cappellano gabrielcappellano en gmail.com
Jue Mar 12 10:54:09 ARST 2009 

Gracias leo como siempre!

Un abrazo! :)

----- Original Message ----- 
From: "Leonardo Tadei - Pegasus Tech Supply" <leonardot en pegasusnet.com.ar>
To: "Lista del curso de PHP Avanzado" <php-avanzado en pato2.fi.mdp.edu.ar>
Sent: Thursday, March 12, 2009 2:23 AM
Subject: Re: [Php-avanzado] seguridad md5()


Hola Gabriel,

El jue, 12-03-2009 a las 02:20 -0300, Gabriel Cappellano escribió:
> Hola! que tal! les escribe gabriel!
>
> queria saber si es seguro la codificacion de un password mediante la
> funcion de php md5(), al momento de registrar un usuario. Es posible
> que te pesquen la contraseña al enviar los datos al servidor, antes
> que la funcion lo codifique??? lei un poco en internet, y una
> instancia mas de seguridad seria codificar por medio de JavaScript.
> Encontre esta funcion http://pajhome.org.uk/crypt/md5/md5.js, pero no
> logro hacerla funcionar....  O será que ando paranoico? jaj
>
> Alguien puede compartir su experiencia personal, o algun ejemplo de la
> fusion de la funcion en javascript con php...

Para tener una seguridad razonable, el sitio debe estar en https en vez
de http. No hay que cambiar nada en el código, sino que es un cambio en
el servidor.
Para tu caso, no debería ser demasiado problema que el usuario al
loguearse lo haga en texto en claro. Lo importante es que no guardes en
la PC ese dato, y que la clave esté en un campo passwd, que los
navegadores no cachean. La otra cosa importante es que la password no
viaje más por la red: depués de logueado te basás en sesiones del lado
del servidor; esto reduce mucho el umbral de posibilidad de
intercepción.

Todo lo demás que agregués, tanto del lado del cliente como del
servidor, suma, pero no te vuelvas loco: si por ejemplo al cliente le
instalan un keyloguer, no importa lo que hagas ya hay compromiso de
seguridad.

> saludos y espero alguna ayuda!

=mente!
-- 
Leonardo Tadei
leonardot en pegasusnet.com.ar
http://blog.pegasusnet.com.ar
Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key

_______________________________________________
Php-avanzado mailing list
Php-avanzado en pato2.fi.mdp.edu.ar
http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado

Más información sobre la lista de distribución Php-avanzado