Tema: como implementar la funcion sha1??
Ver Mensaje Individual
  #6 (permalink)  
Antiguo 11/01/2008, 09:52
Laufwerk
 
Fecha de Ingreso: marzo-2007
Mensajes: 538
Antigüedad: 18 años
Puntos: 0
Re: como implementar la funcion sha1??
tengo entendido tanto de una manera como de la otra siempre pueden desencriptarte el password.
El metodo de kaninox hace lo siguiente:
Tu tienes una web login.php con su respectivo formulario, y en el ACTION lo que hace es enviarlo a otra web php como regula.php. Que pasa, que hay programas llamados "sniffers" o algo asi que "capturan" todos los paquetes que se envian por la red. Esto quiere decir que si en el form de login.php en tu password has puesto por ejemplo, psswrdnly, envia psswrdnly a regula.php, que es éste el que lo recibe, lo encripta, y lo vuelve a enviar mediante el SELECT a tu base de datos encriptado.
Pues bien, estos programas llamados "sniffers" habría capturado el paquete entre login.php y regula.php. El hacker ya tiene tu password!!!!!!!!
Lo que dice santhy hace lo siguiente:
Tu tienes una web login.php con su respectivo formulario, y en el ACTION lo que hace es llamar a la funcion de javascript para encriptar el password. Lo encripta y lo envia haci regula.php, pero que pasa que el "sniffer" captura el paquete encriptado y el hacker puede hacer el SELECT igual si pone el password encriptado.

Con lo cual, bajo mi opinion, el hacker siempre te putea, jejeje.
Utilizar algun sistema como de comprobacion de hora o añadir algo al password encriptado. Lo unico que haremos será darle mas dolores de cabeza al hacker pero al final acabará sabiendo el acceso (No la contraseña, en el caso del javascript).

Porque digo lo de "No la contraseña, en el caso del javascript".
En el primer ejemplo que he explicado el hacker tiene "psswrdnly" y se le pueden cruzar los cables y utilizar esa clave para distintas paginas web que el usuario utilice.
El en segundo ejemplo que he explicado el hacker tiene "JF3L9DJN400AJFSD39" (que seria psswrdnly encriptado en md5 o sha1 o cualquier otra opción que nos inventemos), entonces el hacker con "JF3L9DJN400AJFSD39" ya no le serviría para cualquier pagina que utilicemos con contrassenya, porque esta nueva tendría otro método de encriptación seguramente.

SOLUCIÓN: Utilizar https, que es lo que utilizan los bancos.

PD: Espero haber sido claro y perdón por el rollo.