sugerencia con encriptacion de datos

Saludos, les cuento actualmente tengo realizada una aplicacion sencilla en donde se ingresa el login y clave de un usuario para que pueda ingresar al sistema, el problema esta en que al momento de presionar aceptar en la patalla de logueo del browser la clave viaja sin cifrar hasta llegar a una funcion de encriptacion en el servidor y en el servidor es en donde se cifra la clave. Intente creando dentro de la pagina de logueo una funcion que cifre la clave pero es el mismo resultado ya que el cifrado en si se realiza en el servidor, Si alguien me da una sugerencia de como puedo evitar que mi clave viaje sin cifrar hasta llagar al servdior les agradeceria muhisimo.

Para eso debes usar SSL (Secure Socket Layer) .. (https://). El "SSL" cara a PHP trabaja de forma transparente pues es un "módulo" que tiene que tener instalado tu servidor HTTP y de ahí es donde el cliente (tu navegador) encrita su parte y la transmite encritada al servidor (a tu servidor HTTP) entregando este al lenguaje del lado del servidor (PHP, Perl .. etc) el dato "desencriptado" de forma totalmente transparente.

También podrías encriptar vía javsacript en el cliente tus datos y enviarlos encriptados. Pero esto no es nada seguro y para eso está el standard "SSL" con codificaciones de 128 bits por ejemplo ....

Un saludo,

ok es de mucha ayuda tu informacion t agradesco por tu tiempo

Hola Alexo:

Yo de manera personal he diseñado una pagina web que trabaja con un login y password. el cifrado lo hago desde mi pagina de logeo primero capturo el valor introducido en el campo password y lo inserto en la funcion de encriptacion crypted_md5() el resultado que devuelve es a la vista basura, y con ese resultado yo hago la consulta a la base de datos. La idea de mandar la contraseña sin cifrar directo a la base de datos y luego allí cifrarlo te puede causar problemas con respecto a la seguridad de tus passwords, para mi opinión personal preferiría cifrarlo antes que llegue a la base de datos. bye

Espero haberme hecho entender y espero haber respondido a tu duda.....!

Puedes codificar la contraseña en el navegador (con MD5 por ejemplo), existe una implementacion OpenSource de MD5 en js: http://pajhome.org.uk/crypt/md5/

Hola jhonnysoft:
entonces a lo que tu te refieres es que ponga el codigo de cifrado dentro de la pagina de logueo de mi aplicacion para que viaje la clave cifrada al servidor..

Creo que el problema de "alexo" no es de encriptar los datos en el "servidor" sino del paso de datos entre cliente-servidor ..

Sigo insistiendo que el "standard" de seguridad ya existe .. se llama SSL y es cierto que esto viene con un "certificado" que se ha de adquirir al organismo oficial que los distribuye y eso cuesta $$$ pero asegura que quien emite esos datos es quien dice ser (además de la encriptación en sí que aporta la "seguridad" ..).

Un saludo,

Si cluster mi problema es que no quiero que mis datos viajes por la red si estar encriptados hasta llegar al servidor, la opcion de usar SSL es muy buena ya que me encripta la informacion para que esta viaje cifrada hasta el servidor, pero como tu dices esto cuesta $$$, ahora esto puede justificarse para ciertos tipos de aplicaciones en la que vale la pena la inversion, pero si existe una alternativa a esta seria ideal, especialmente que no involucre mucho $$$

Ok .. el tema de "costos" siempre es importante .. pero también debes tener presente que si optas por otras soluciones No-SSL (como alternativas en javascript) puedes tener problemas de seguridad: simplemente viendo de donde llegan esos datos (página/URL) puedo ir a mirar el código e intentar ver el "algorítmo" que uses para descifrar tus datos ... Ese es un riesgo que corres.

Por cierto .. ten también prestente las técnicas como la que propone "ProgramacionWeb" sobre el uso de MD5() y su implementación en javascript. Ese método es factible sólo para gestionar datos tipo "contraseña" por ejemplo .. donde en la parte "cliente" la contraseña se encripta directamente en MD5 y tu en tu BBDD o donde la almacenes la almacenas directamente y por las propiedades del "hash" MD5 (irreversible) ni tu (administrador de tu aplicación) ni alguien que capture el dato por el camino (cliente-servidor) sabrá que contraseña usastes. Eso sí .. con este método si te capturo el dato por el camino tal cual lo podría usar para autentificarme en el sistema (inyectandolo directo) ¿no? (pregunto .. no sé como trabajan el tema .. supongo que será así?)

Un saludo,

Hola,

sobre este punto leí hace algún tiempo un articulo en el que se proponía el uso de contraseñas de un solo uso. La idea es utilizar md5, sobre javascript, para cifrar la contraseña introducida (nada nuevo por el momento) PERO lo que resultaba interesante es que añadía una elemento 'aleatorio' para no mandar la contraseña 'simplemente' cifrada y así añadrile una 'capa' más de seguridad a los datos que se envían.

El artículo lo podéis encontrar en http://www.usebox.net/jjm/passw/ Espero que os valga de ayuda, ciao

Ok, gracias por el artículo.

Un saludo,