Hola de nuevo! Desde el desconocimiento que pueda tener sobre seguridad en internet, creo que para una tienda, la encriptación MD5 o SHA-256 está bien. También depende de la importancia que tu le des a la seguridad en tus aplicaciones.
Yo por ejemplo soy muy desconfiado y me gusta que mis aplicaciones sean seguras por lo que intento que en mis aplicaciones: A) identificación con uso de MD5 como mínimo para dificultar al menos algo el obtener los datos de identificación del usuario B) arrastre de la sesión iniciada para obtener cualquier dato sensible referente al usuario y dificultar un poco más el obtener datos privados C) En caso de recoger datos bancarios, montarlo sobre https Como dice Zarate... si hackean la web del pentagono poco tenemos que hacer si se empecinan en hackear cualquier aplicación nuestra, pero aún así, hay que poner lo más dificil posible que se obtengan datos que no se deben. Por último, yo no me complicaría demasiado en la identificación y lo haría tal y como tu has dicho, MD5 o SHA-256 Un saludo! On 7/11/07, Zárate <[EMAIL PROTECTED]> wrote: > > Yo he implementado el sistema de Joan en Flash y de verdad que no es > nada complicado. > > 1 - Crear key en server y pasar por FlashVars a Flash > 2 - A la hora de enviar, encriptar contrasenya del usuario, sumar a la > key y encriptar todo > 3 - En el servidor, leer de la base la contrasenya encriptada, sumar a > la key y comprobar. > > Lo que es un conyazo es tener encriptada las contrasenyas en el > servidor, porque eso obliga a que los "recordar contrasenya" no sean > tan sencillos. Pero eso si que es algo muy basico de lo que no se > puede prescindir. Y si a eso le sumas SSL, pues mejor, claro. > > Dicho esto, si hackean la web del pentagono, pues tambien lo haran con > las nuestras a nada que se lo propongan. Pero me quedo mas tranquilo > haciendo todo lo que puedo. > > Ea! > > On 7/11/07, Fede Rivas <[EMAIL PROTECTED]> wrote: > > Antes de ponerme con ello, y tomando el cafelito de rigor, me he dado > > una ultima vuelta por google y me he topado con estas librerias de > > encriptacion para AS3 : > > > > 1. http://crypto.hurlant.com/ > > > > 2. http://gsolofp.blogspot.com/2006/01/actionscript-3-md5-and-sha1.html > > > > La primera de ellas es muy potente y completa, permite encriptaciones > > de todo tipo tales como : > > Public Key Encryption: RSA (full.) > > Secret Key Encryption: AES, DES, 3DES, BlowFish, XTEA, RC4 > > Confidentiality Modes: ECB, CBC, CFB, CFB8, OFB, CTR > > Hashing Algorithms: MD2, MD5, SHA-1, SHA-224, SHA-256 > > Paddings available: PKCS#5, PKCS#1 > > Other Useful Stuff: HMAC, Random, TLS-PRF, some ASN-1/DER parsing > > La segunda, mucho mas sencilla, solo encripta MD5 y SHA-1. > > > > Pensando en no complicar demasiado todo con la key aleatoria, quiza > > sea mas sencillo encriptar la pass introducida por el user en el > > textField directamente, asi dicha pass viajará encriptada antes de la > > comprobacion en el servidor. Podria usar SHA-256 en vez de SHA-1. > > > > Todo esto, no es para un sistema que deba ser hiper-seguro, > > simplemente son tiendas online, y es para el acceso al CMS y poco > > mas, pero al menos, que tenga un minimo de seguridad, en principio > > debo descartar SSL. > > > > Estoy pegao en seguridad ... ¿ que os parece la idea ? > > > > Gracias de nuevo, > > > > Fede. > > > > El 11/07/2007, a las 16:15, Fede Rivas escribió: > > > > > Buenas de nuevo ! > > > Primero, muchas gracias a los dos. He estado leyendo el post de Joan, > > > y en efecto, me parece muy interesante, asi que me liare manos a la > > > obra esta tarde, con la modificacion de que almacenare la pass > > > encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. > > > > > > A parte de esto, he pensado usar adicionalmente el sistema de roles > > > que trae AMF, para bloquear usos indebidos en los servicios. > > > > > > Cuando lo tenga andando, os cuento a ver q tal !!! > > > > > > Gracias de nuevo ! > > > > > > Fede. > > > > > > > > > El 11/07/2007, a las 14:23, Joseba Alonso escribió: > > > > > >> Echando un vistazo por ahí, parece que MD5 es más fácil revertir, > > >> pero que > > >> SHA-1 requiere de bastante computo así que la opción que comenta > > >> Joan en su > > >> blog parece bastante segura... > > >> > > >> Joseba Alonso Pérez > > >> www.sidedev.net > > >> www.5dms.com > > >> > > >> > > >>> -----Mensaje original----- > > >>> De: [EMAIL PROTECTED] [mailto:asnativos- > > >>> [EMAIL PROTECTED] En > > >>> nombre de Zárate > > >>> Enviado el: miércoles, 11 de julio de 2007 14:05 > > >>> Para: Lista dedicada a Actionscript > > >>> Asunto: Re: [ASNativos] Sistema de Login AMFPHP > > >>> > > >>> Ummm, hemos cruzado mails Joseba :) > > >>> > > >>> Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo > > >>> sentido. Es decir, no lo puedes desencriptar. > > >>> > > >>> El paso mas que da el post de Joan, es que el MD5 que se manda es > > >>> una > > >>> suma de la contrasenya real y una key aleatoria generada en el > > >>> servidor. > > >>> > > >>> Salud! > > >>> > > >>> On 7/11/07, Zárate <[EMAIL PROTECTED]> wrote: > > >>>> Yo ultimamente he implementado este metodo que comentaba Joan > > >>>> Garnet: > > >>>> > > >>>> http://www.joangarnet.com/blog/?p=439 > > >>>> > > >>>> Supongo habras hecho algo parecido. Si ademas le anayades el > > >>>> binario > > >>>> de AMFPHP, pues mejor. > > >>>> > > >>>> On 7/11/07, Fede Rivas <[EMAIL PROTECTED]> wrote: > > >>>>> Buenas a todos !!! > > >>>>> Actualmente tengo un sistema de login, funcionando con AMFPHP y > > >>>>> encriptado con MD5. Estoy trabajando ahora en un nuevo framework > > >>> para > > >>>>> mis CMS, basado en AS3, y me gustaria preguntaros que sistemas > > >>> usais > > >>>>> para logear usuarios, cual considerais mas seguro y demas, en > > >>>>> definitiva, conocer vuestras opiniones al respecto. > > >>>>> > > >>>>> Gracias de antemano !! > > >>>>> > > >>>>> Fede. > > >>>>> > > >>>>> ----------------------------------------------------- > > >>>>> ASNativos > > >>>>> www.5dms.com > > >>>>> subscripciones/desubscripciones > > >>>>> http://asnativos.5dms.com > > >>>>> ----------------------------------------------------- > > >>>>> > > >>>> > > >>>> > > >>>> -- > > >>>> Juan Delgado - Zárate > > >>>> http://zarate.tv > > >>>> http://dandolachapa.com > > >>>> http://loqueyosede.com > > >>>> > > >>> > > >>> > > >>> -- > > >>> Juan Delgado - Zárate > > >>> http://zarate.tv > > >>> http://dandolachapa.com > > >>> http://loqueyosede.com > > >>> > > >>> ----------------------------------------------------- > > >>> ASNativos > > >>> www.5dms.com > > >>> subscripciones/desubscripciones > > >>> http://asnativos.5dms.com > > >>> ----------------------------------------------------- > > >> > > >> > > >> ----------------------------------------------------- > > >> ASNativos > > >> www.5dms.com > > >> subscripciones/desubscripciones > > >> http://asnativos.5dms.com > > >> ----------------------------------------------------- > > >> > > > > > > > > > ----------------------------------------------------- > > > ASNativos > > > www.5dms.com > > > subscripciones/desubscripciones > > > http://asnativos.5dms.com > > > ----------------------------------------------------- > > > > > > > ----------------------------------------------------- > > ASNativos > > www.5dms.com > > subscripciones/desubscripciones > > http://asnativos.5dms.com > > ----------------------------------------------------- > > > > > -- > Juan Delgado - Zárate > http://zarate.tv > http://dandolachapa.com > http://loqueyosede.com > > ----------------------------------------------------- > ASNativos > www.5dms.com > subscripciones/desubscripciones > http://asnativos.5dms.com > ----------------------------------------------------- > ----------------------------------------------------- ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -----------------------------------------------------
