Encriptar con semilla?

neodani · #1 (**permalink**) 18/12/2010, 04:21

Buenas,

Estoy haciendo la pantalla de ¿Olvidaste tu contraseña? el usuario mete su dirección de correo y le llega un enlace para que restablezca su contraseña, al pulsarlo le lleva a la web y le pregunta que escriba dos veces su nueva contraseña.

Me gustaría hacer que el enlace que le lleva solo le durase 24 horas y fuese seguro, con seguro me refiero, si otro usuario le roba el enlace que no pudiera generar una nueva contraseña.

Habia pensado en poner en el enlace el tiempo de expiración del enlace, y el user_id del usuario, ej. en texto plano sería

web.com/recuperar_pass?user_id=1351&time=1292667603

Pero me gustaría encriptar esa parte para que no se viese tan claro lo que se está haciendo, pero que fuese un encriptación reversible, pero no tan sencilla como base64 x ej. sino que tuviese algun tipo de semilla.

Qué me aconsejáis y cómo podría hacerlo?

Muchas gracias de antemano

caricatos · #2 (**permalink**) 18/12/2010, 04:34

Hola:

No sé si te servirá el que uso en mi sistema de comentarios: Ponga comentarios en su web, en la parte que pone "Activación por e-mail".

En el caso, reservo en la tabla de comentarios un campo para la tabla, otro para indicar que ha sido activado, etc.

Saludos

neodani · #3 (**permalink**) 18/12/2010, 08:52

Cita:

Iniciado por caricatos

Hola:

No sé si te servirá el que uso en mi sistema de comentarios: Ponga comentarios en su web, en la parte que pone "Activación por e-mail".

En el caso, reservo en la tabla de comentarios un campo para la tabla, otro para indicar que ha sido activado, etc.

Saludos

No acabo de ver en tu ejemplo como encriptar la cadena con alguna semilla

user_id=1351&time=1292667603

Y que luego sea capaz de desencriptarla...

Alguien sabría decirme?

Muchas gracias

neodani · #4 (**permalink**) 18/12/2010, 09:55

Encontré una solución, pero le veo un inconveniente, y es que la longitud de la cadena va creciendo si quiero agregar nuevos campos

Código PHP:

Ver originalfunction encrypt($string, $key) {
   $result = '';
   for($i=0; $i<strlen($string); $i++) {
      $char = substr($string, $i, 1);
      $keychar = substr($key, ($i % strlen($key))-1, 1);
      $char = chr(ord($char)+ord($keychar));
      $result.=$char;
   }
   return base64_encode($result);
}
 
function decrypt($string, $key) {
   $result = '';
   $string = base64_decode($string);
   for($i=0; $i<strlen($string); $i++) {
      $char = substr($string, $i, 1);
      $keychar = substr($key, ($i % strlen($key))-1, 1);
      $char = chr(ord($char)-ord($keychar));
      $result.=$char;
   }
   return $result;
}
 
$cadena_encriptada = encrypt("user_id=234&time=".time(),"secret");
echo $cadena_encriptada;
echo "<br/>";echo "<br/>";
$cadena_desencriptada = decrypt($cadena_encriptada,"secret");
echo $cadena_desencriptada;

Se os ocurre alguna forma de acortar la encriptación?
Ej. esto es lo que me sale encriptado también con la IP del usuario

z8CY4NO5oW5UR7nc4ddxVpOznaOSg2SlqHamoWBSd6qiomJVj6 s=

Es bestialmente grande xD

Pero si la corto una vez generada no podré desencriptarla luego.

Muchas gracias de antemano

NUCKLEAR · #5 (**permalink**) 18/12/2010, 12:18

Pero no entiendo si el usuario pierde el enlace no tienes forma de hacer nada(como vas a saber si es el usuario verdadero o el ursurpador)

Ahora si se lo pasas por 24 horas de validez, por que no mandarlo con md5(md5(time())) y a su vez guardas la fecha en que se lo enviaste.

usuario
key
date
pass

al momento de mandarle el enlace tendrias que mandarle su id de usuario(o el nombre) y el codigo encriptado.

http://www.*.com/pass_recovery.php?u...ae0196003e30ac

cuando requiera el acceso buscas la id y la coincidencia del key y comparas la fecha actual con la que gusrdaste y envisate la url al usuario. Si la fecha esta entre el rango accede y si no mala suerte.

Fácil. No se por que tanto lio. Lo unico visible va a ser la id del usuario, pero como repito de que sirve tanta seguridad si pierde la url....

slrk · #6 (**permalink**) 18/12/2010, 13:01

Y porque no creas un campo en la tabla usuarios que se llame "keyexpire" y otra "key" que al solicitar una nueva clave genere una clave y la meta en key, a su vez meta la fecha en la que expira.

Al entrar el usuario en la url del tipo recuperarclave.php?key=xxxxxxx busca al usuario donde su "key" es xxxxxxxxx y comprueba el campo "keyexpire"

neodani · #7 (**permalink**) 19/12/2010, 04:37

La manera que lo estoy haciendo es más segura, porque cojo la IP que tenia el usuario cuando solicitó la contraseña y debe ser la misma que el que accede a través del vinculo jeje!

Sabéis como puedo encriptar una cadena de texto, de una forma reversible pero que ocupe menos de lo que ocupa la cadena de texto original.

Cadena de texto
6bCWlqaZmueilKSepqqal6mdqpnOoKOXq6GVkaKTpZnIoLqmqq apq6mmx7e1k8OWx9mr2sepw8PGst+ow+XOuQ==

Me gustaría que no tuviese más de 30 caracteres!

He probado con base64_enconde pero se vuelve aun más larga...

¿Alguna idea?

Muchas gracias

NUCKLEAR · #8 (**permalink**) 19/12/2010, 04:49

No entiendo por que te empeñas en agregarle complejidad a algo tan simple.
Guarda la ip tambien el base de datos y puedes serializar todos esos datos hora, ip, hash - en la url envias el uid mas el hash

Para que quieres enviar todos los datos a la vez. Solo con que sea valido el hash puedes hacer las demas comparaciones.

Saludos.

neodani · #9 (**permalink**) 19/12/2010, 04:57

Cita:

Iniciado por NUCKLEAR

No entiendo por que te empeñas en agregarle complejidad a algo tan simple.
Guarda la ip tambien el base de datos y puedes serializar todos esos datos hora, ip, hash - en la url envias el uid mas el hash

Para que quieres enviar todos los datos a la vez. Solo con que sea valido el hash puedes hacer las demas comparaciones.

Saludos.

Muchas gracias por tu ayuda NUCKLEAR

Intento ver lo que propones pero no lo consigo :_(

Cómo serializas los datos dentro de la base de datos?
Qué campos nuevos necesitas en la bd para cumplir con eso? solo el hash?

Muchas gracias

NUCKLEAR · #10 (**permalink**) 19/12/2010, 05:29

Quizas te sirva :

Código PHP:

Ver original<?php
 
define('KEY', 'passphrase');
 
function encripta($text)
{
    return trim(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, KEY, $text, MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND))));
}
 
function desencripta($text)
{
    return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, KEY, base64_decode($text), MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND)));
}
 
echo encripta("192.168.1.1 mensaje oculto fecha");
echo "<br />";
echo desencripta("nQfWYpsaqRF3CaP4NrjBbVx6KyItQgw5NPAHKiPVb/8=");
 
 
?>

Serialize

Saludos.

neodani · #11 (**permalink**) 19/12/2010, 08:12

Cita:

Iniciado por NUCKLEAR

Quizas te sirva :

Código PHP:

Ver original<?php
 
define('KEY', 'passphrase');
 
function encripta($text)
{
    return trim(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, KEY, $text, MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND))));
}
 
function desencripta($text)
{
    return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, KEY, base64_decode($text), MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND)));
}
 
echo encripta("192.168.1.1 mensaje oculto fecha");
echo "<br />";
echo desencripta("nQfWYpsaqRF3CaP4NrjBbVx6KyItQgw5NPAHKiPVb/8=");
 
 
?>

Serialize

Saludos.

Qué diferencia hay entre encriptarlo como pones en tu ejemplo y hacerlo cómo ya utilizo?

Código PHP:

Ver originalfunction encrypt($string, $key) {
   $result = '';
   for($i=0; $i<strlen($string); $i++) {
      $char = substr($string, $i, 5);
      $keychar = substr($key, ($i % strlen($key))-1, 1);
      $char = chr(ord($char)+ord($keychar));
      $result.=$char;
   }
   return base64_encode($result);
}
 
function decrypt($string, $key) {
   $result = '';
   $string = base64_decode($string);
   for($i=0; $i<strlen($string); $i++) {
      $char = substr($string, $i, 5);
      $keychar = substr($key, ($i % strlen($key))-1, 1);
      $char = chr(ord($char)-ord($keychar));
      $result.=$char;
   }
   return $result;
}

Qué campos nuevos necesitas en la bd para cumplir con eso? solo el hash?

Muchas gracias