Guardar contraseña directamente en el código

Bravenap · #1 (**permalink**) 05/08/2004, 04:50

Vamos a ver si me podéis dar opinión sobre algo que me ronda la cabeza.

Estaba pensando que para guardar la contraseña del administrador de un sitio para acceder y modificar ciertas partes utilizar directamente un archivo ASP. Cuando se trata de una sola contraseña no merece la pena crear un base datos, además éstas pueden dar problemas de vulnerabilidad. Por tanto, había pensado en guardar la contraseña en una variable dentro de una subrutina en ASP a la que se accediera cada vez que se quisiera comprobar la autorización. Algo así:

Código:

<%
Sub comprobarContra(texto)
  contrasena = "pasguord"
  If texto = contrasena Then permitido = True
End Sub
%>

Cuando se quisiera cambiar la contraseña utilizaría FSO para leer y modificar directamente el archivo que contubiera la subrutina.

¿Posibles problemas?¿mejores alternativas?...

Un saludo y gracias.

Myakire · #2 (**permalink**) 05/08/2004, 08:18

Bueno, aparentemente no hay problemas ya que no te la pueden bajar al ser .ASP; pero hay algo que no me termina de convencer, a lo mejor lo "clasico" de la idea de tener una contraseña en código duro y mi paradigma es de que eso no se debe hacer. Voy a investigar y hacer unas pruebas para poder ratificar o bien corregir esta idea.

Otra alternativa sería tener la contraseña en un SP, pero si manejas access esto no es posible, jeje.

Bueno, deja hago que lo mencione lineas arriba y regreso.

Saludos Bravenap

Bravenap · #3 (**permalink**) 05/08/2004, 08:33

Gracias Myakire. Una preguntita ¿qué es SP?¿es un tipo de campo de otras bases de datos?

Bueno, otra más: ¿por qué no se ha de meter una contraseña en "código puro"? Probablemente sea el sitio más seguro ¿no?

Un saludo.

Myakire · #4 (**permalink**) 05/08/2004, 08:53

Bueno, pese a tus comprobados conocimientos, veo por tu juventud que no te toco progrmaar en Cobol o Clipper o alguno de esos lenguajes donde las tablas y los archivos eran los lugares mas "inseguros" para guardar contraseñas, ya que facilmente se podían abrir y decodificar en el mejor de los casos la contraseña. En esos entonces, se estilaba poner "en codigo duro" las contraseñas, esto significa en constantes dentro del código. Ya que, en teoría, al ser compilados la contraseña estaba segura. Claro que con cualquier programa "de aquellos" como el pctools podías ver el codigo hexadecimal y obtener la contraseña o peor, con un SO como Unix con un simple comando strings de podía rastrear el código texto entre comillas de un compilado de cobol. A eso me refería con mi paradigna de que eso no se debe hacer; claro esta que en el ASP la cosa es diferente por que no se tiene acceso al codigo fuente, claro, siempre en teoría.

Un SP es un Store Procedure o un Procedimiento Almacenado, y es una especia de Funcion o Procedimiento (depende si quieres que regreso o no valores) y que, jejeje, en teoría, es lo mas seguro para manejar contraseñas, operaciones sobre la base de adtos, etc. Se supone que un usuario con que te conectas a Internet no debe de tener permisos de Select, solo de ejecución de procedimientos almacenados, aunque esto se limita unicamente a las BD que cuentan con esta capacidad, como MSSQL o Interbase.

Saludos

Bravenap · #5 (**permalink**) 05/08/2004, 09:17

Cita:

... pese a tus comprobados conocimientos...

Je je, siempre es un orgullo recibir esos piropos, aunque no sean ciertos :modestín:

Aunque todavía no tengo muy claro de lo que es, he leido en la ayuda que Access tiene SP. Iba a utilizar una base de datos de todas formas, así que podría incluir la contraseña con un SP de esos

. Pero el problema es que si alguien da con la ruta de la base de datos se la pueda bajar y hale, a fastidiar. Por eso seguía pensando que lo más seguro era incrustarlo en ASP.

En fin, gracias de nuevo.

Myakire · #6 (**permalink**) 05/08/2004, 09:27

Bueno, tomada la desición, adelante!!!

Una mas, para que lo tomes en cuenta si vas a colocar contraseñas en el código, puedes ofuscar tu código para que ni los administradores del host lo puedan modificar (http://www.microsoft.com/downloads/d...displaylang=en), aunque en este mismo foro ya LeClub, creo, posteo como desofuscar este software.

Saludos

Bravenap · #7 (**permalink**) 05/08/2004, 09:40

Gracias por la ayuda.

He estado mirando un poco por encima lo del Encoder de Microsoft. La verdad es que me parece un poco lioso, además he probado los ejemplos que vienen y no funcionan bien. Creo que no hará falta tanta seguridad a fin de cuentas y creo que el Encoder traerá más quebraderos de cabeza que soluciones reales.

Gracias de nuevo.

AlZuwaga · #8 (**permalink**) 05/08/2004, 12:36

Yo creo que es bastante seguro el tener la contraseña en un archivo que tenga extención ASP. Claro, al menos que el servidor sea de tu propiedad y la única persona que meta mano en él seas vos, siempre habrá alguien que tenga acceso a los fuentes y por consiguiente a la contraseña.

Aunque me parece que en este caso lo mejor es codificar la contraseña mediante algún algoritmo de encriptación como MD5 y listo, por más que alguien pueda ver el fuente del ASP, no va a poder entrar sin saber la contraseña que lo desencripta.

AlZuwaga · #9 (**permalink**) 05/08/2004, 12:44

(igual, si tiene acceso a la contraseña, también lo tiene a todos los archivos)

Bravenap · #10 (**permalink**) 05/08/2004, 12:56

Creo que el (futuro) cliente tiene su propio servidor, por tanto un problema menos ¿no?

Una cosita que no me habéis concretado. Para cambiar la contraseña tendría que recurrir a FSO forzosamente. ¿o hay alguna otra alternativa?

AlZuwaga · #11 (**permalink**) 05/08/2004, 13:00

Yo creo que si, forzosamente FSO. Dejame que lo busco y te paso un ejemplo que tengo hecho (igual no creo que lo necesites :D)

Myakire · #12 (**permalink**) 05/08/2004, 13:26

Coincido. Ya que igual subes una nueva versión del archivo con la nueva contraseña y san se acabo, a menos, claro, que le proporciones al cliente su módulo administrador.

Bravenap · #13 (**permalink**) 05/08/2004, 14:53

Sí claro, de eso se trataba, de proporcionar al cliente un formulario para que puediera cambiar la contraseña. Ya sabéis, lo de siempre: contraseña actual, nueva contraseña y confirmar nueva contraseña. Luego recoger los datos del formulario e introducir los nuevos mediante FSO. Na más.

Un saludo a los dos.

8461277 · #14 (**permalink**) 06/08/2004, 07:27

me gustaria ver como queda incustrado la clave en un codigo asp, ya que este tema se ve intersante.

En cuanto al encoder, yo lo e utilizado y funciona a las mil maravillas, pero no lo e probado con administrador de clave ya que como esta compilado el codigo asp, es decir esta vuelto basura para que no reconoscan el lenguaje, creo que el mismo no funcionaria!!!!!

Bravenap · #15 (**permalink**) 07/08/2004, 06:13

Es realmente sencillo. Imagina que tienes una página que se llama contra.asp. En ella sólo pones esto:

contra.asp

Código:

<%
contrasena="pasguord"
%>

Luego en culquier otra página que quieras comprobar si la contraseña introducida, por ejemplo, en un formulario es correcta.

Código:

<!--#include virtual="contra.asp"-->
<%
IF Request.Form("contrasena")=contrasena THEN
  autorizado="si"
ELSE
  autorizado="no"
END IF
%>

Puedes poner autorizado, crear una variable de sesión, una cookie, redirigir, etc. en fin, lo que quieras una vez comprobado que la contraseña es correcta.

Espero que te sirva.

Un saludo.

8461277 · #16 (**permalink**) 09/08/2004, 06:33

Gracias parece logico lo provbare