Re: [ASNativos] Sistema de Login AMFPHP
Buenas de nuevo. La verdad que no es complicado el sistema de Joan, ya lo tengo funcionando, y al final me he decidido a cambia r a SHA-256, que como comentaba Joseba parece mas robusto que MD5. Al final, la cosa queda asi : - se genera el RandomSTR y se recibe en el cliente - el user mete el pass en el textInput, codifico con SHA-256 - se envia al server el pass encriptado + el RandomSTR - en el server, se obtiene la pass encriptada de la BD y tras añadirle el RandomSTR, se compara. En cuanto a la sesion la llevo con AMF, ahora voy a implementar los roles para dejar los metodos protegidos contra accesos sin autenticacion. Dicho esto, si hackean la web del pentagono, pues tambien lo haran con las nuestras a nada que se lo propongan. Pero me quedo mas tranquilo haciendo todo lo que puedo. Ademas de verdad :) De nuevo, gracias a todos. Salu2! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
¿Que haces exactamente? ¿Un MD5 antes de mandar el password? Yo la verdad es que a menos que el sistema en si sea goloso para los hackers (una cuenta importante) lo suelo mandar en plain-text. Si el cliente es importante y la aplicación critica, prefiero limpiarme las manos y usar SSL. Aunque como solución intermedia y de bajo coste no me parece mala idea mandar el MD5, ahora si, el problema es que expones el salt en el código con lo que solo tendrían que decompilar el swf para echarle un vistazo y revertir el MD5, no? Un saludo, Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] En nombre de Fede Rivas Enviado el: miércoles, 11 de julio de 2007 12:33 Para: Lista dedicada a Actionscript Asunto: [ASNativos] Sistema de Login AMFPHP Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El problema es que los 2, sino recuerdo mal, están ya rotos. Con lo que es posible revertirlos. Ahora si, ni idea si esto es un proceso sencillo o costoso... a tanto ya no llego. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. La key aleatoria es lo que yo llamaba salt, efectivamente si la generas en el servidor, diferente para cada petición, ganas en seguridad. La pena es que complica el proceso un monton... Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Echando un vistazo por ahí, parece que MD5 es más fácil revertir, pero que SHA-1 requiere de bastante computo así que la opción que comenta Joan en su blog parece bastante segura... Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] En nombre de Zárate Enviado el: miércoles, 11 de julio de 2007 14:05 Para: Lista dedicada a Actionscript Asunto: Re: [ASNativos] Sistema de Login AMFPHP Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Buenas de nuevo ! Primero, muchas gracias a los dos. He estado leyendo el post de Joan, y en efecto, me parece muy interesante, asi que me liare manos a la obra esta tarde, con la modificacion de que almacenare la pass encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. A parte de esto, he pensado usar adicionalmente el sistema de roles que trae AMF, para bloquear usos indebidos en los servicios. Cuando lo tenga andando, os cuento a ver q tal !!! Gracias de nuevo ! Fede. El 11/07/2007, a las 14:23, Joseba Alonso escribió: Echando un vistazo por ahí, parece que MD5 es más fácil revertir, pero que SHA-1 requiere de bastante computo así que la opción que comenta Joan en su blog parece bastante segura... Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] En nombre de Zárate Enviado el: miércoles, 11 de julio de 2007 14:05 Para: Lista dedicada a Actionscript Asunto: Re: [ASNativos] Sistema de Login AMFPHP Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Buenas listeros, yo uso el sistema de identificación que comenta Joan Garnet con contraseña encriptada usando MD5 en la base de datos y por el momento estoy contento a las mil maravillas. Para lo que desarrollo normalmente creo que me basta y me sobra seguridad así que creo lo utilizaré por mucho tiempo. Si en un futuro implementara algo que necesitara de más seguridad lo montaría sobre SSL y como dice Joseba... ya me lavo las manos ;) On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas de nuevo ! Primero, muchas gracias a los dos. He estado leyendo el post de Joan, y en efecto, me parece muy interesante, asi que me liare manos a la obra esta tarde, con la modificacion de que almacenare la pass encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. A parte de esto, he pensado usar adicionalmente el sistema de roles que trae AMF, para bloquear usos indebidos en los servicios. Cuando lo tenga andando, os cuento a ver q tal !!! Gracias de nuevo ! Fede. El 11/07/2007, a las 14:23, Joseba Alonso escribió: Echando un vistazo por ahí, parece que MD5 es más fácil revertir, pero que SHA-1 requiere de bastante computo así que la opción que comenta Joan en su blog parece bastante segura... Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] En nombre de Zárate Enviado el: miércoles, 11 de julio de 2007 14:05 Para: Lista dedicada a Actionscript Asunto: Re: [ASNativos] Sistema de Login AMFPHP Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Antes de ponerme con ello, y tomando el cafelito de rigor, me he dado una ultima vuelta por google y me he topado con estas librerias de encriptacion para AS3 : 1. http://crypto.hurlant.com/ 2. http://gsolofp.blogspot.com/2006/01/actionscript-3-md5-and-sha1.html La primera de ellas es muy potente y completa, permite encriptaciones de todo tipo tales como : Public Key Encryption: RSA (full.) Secret Key Encryption: AES, DES, 3DES, BlowFish, XTEA, RC4 Confidentiality Modes: ECB, CBC, CFB, CFB8, OFB, CTR Hashing Algorithms: MD2, MD5, SHA-1, SHA-224, SHA-256 Paddings available: PKCS#5, PKCS#1 Other Useful Stuff: HMAC, Random, TLS-PRF, some ASN-1/DER parsing La segunda, mucho mas sencilla, solo encripta MD5 y SHA-1. Pensando en no complicar demasiado todo con la key aleatoria, quiza sea mas sencillo encriptar la pass introducida por el user en el textField directamente, asi dicha pass viajará encriptada antes de la comprobacion en el servidor. Podria usar SHA-256 en vez de SHA-1. Todo esto, no es para un sistema que deba ser hiper-seguro, simplemente son tiendas online, y es para el acceso al CMS y poco mas, pero al menos, que tenga un minimo de seguridad, en principio debo descartar SSL. Estoy pegao en seguridad ... ¿ que os parece la idea ? Gracias de nuevo, Fede. El 11/07/2007, a las 16:15, Fede Rivas escribió: Buenas de nuevo ! Primero, muchas gracias a los dos. He estado leyendo el post de Joan, y en efecto, me parece muy interesante, asi que me liare manos a la obra esta tarde, con la modificacion de que almacenare la pass encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. A parte de esto, he pensado usar adicionalmente el sistema de roles que trae AMF, para bloquear usos indebidos en los servicios. Cuando lo tenga andando, os cuento a ver q tal !!! Gracias de nuevo ! Fede. El 11/07/2007, a las 14:23, Joseba Alonso escribió: Echando un vistazo por ahí, parece que MD5 es más fácil revertir, pero que SHA-1 requiere de bastante computo así que la opción que comenta Joan en su blog parece bastante segura... Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:asnativos- [EMAIL PROTECTED] En nombre de Zárate Enviado el: miércoles, 11 de julio de 2007 14:05 Para: Lista dedicada a Actionscript Asunto: Re: [ASNativos] Sistema de Login AMFPHP Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
Re: [ASNativos] Sistema de Login AMFPHP
Yo he implementado el sistema de Joan en Flash y de verdad que no es nada complicado. 1 - Crear key en server y pasar por FlashVars a Flash 2 - A la hora de enviar, encriptar contrasenya del usuario, sumar a la key y encriptar todo 3 - En el servidor, leer de la base la contrasenya encriptada, sumar a la key y comprobar. Lo que es un conyazo es tener encriptada las contrasenyas en el servidor, porque eso obliga a que los recordar contrasenya no sean tan sencillos. Pero eso si que es algo muy basico de lo que no se puede prescindir. Y si a eso le sumas SSL, pues mejor, claro. Dicho esto, si hackean la web del pentagono, pues tambien lo haran con las nuestras a nada que se lo propongan. Pero me quedo mas tranquilo haciendo todo lo que puedo. Ea! On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Antes de ponerme con ello, y tomando el cafelito de rigor, me he dado una ultima vuelta por google y me he topado con estas librerias de encriptacion para AS3 : 1. http://crypto.hurlant.com/ 2. http://gsolofp.blogspot.com/2006/01/actionscript-3-md5-and-sha1.html La primera de ellas es muy potente y completa, permite encriptaciones de todo tipo tales como : Public Key Encryption: RSA (full.) Secret Key Encryption: AES, DES, 3DES, BlowFish, XTEA, RC4 Confidentiality Modes: ECB, CBC, CFB, CFB8, OFB, CTR Hashing Algorithms: MD2, MD5, SHA-1, SHA-224, SHA-256 Paddings available: PKCS#5, PKCS#1 Other Useful Stuff: HMAC, Random, TLS-PRF, some ASN-1/DER parsing La segunda, mucho mas sencilla, solo encripta MD5 y SHA-1. Pensando en no complicar demasiado todo con la key aleatoria, quiza sea mas sencillo encriptar la pass introducida por el user en el textField directamente, asi dicha pass viajará encriptada antes de la comprobacion en el servidor. Podria usar SHA-256 en vez de SHA-1. Todo esto, no es para un sistema que deba ser hiper-seguro, simplemente son tiendas online, y es para el acceso al CMS y poco mas, pero al menos, que tenga un minimo de seguridad, en principio debo descartar SSL. Estoy pegao en seguridad ... ¿ que os parece la idea ? Gracias de nuevo, Fede. El 11/07/2007, a las 16:15, Fede Rivas escribió: Buenas de nuevo ! Primero, muchas gracias a los dos. He estado leyendo el post de Joan, y en efecto, me parece muy interesante, asi que me liare manos a la obra esta tarde, con la modificacion de que almacenare la pass encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. A parte de esto, he pensado usar adicionalmente el sistema de roles que trae AMF, para bloquear usos indebidos en los servicios. Cuando lo tenga andando, os cuento a ver q tal !!! Gracias de nuevo ! Fede. El 11/07/2007, a las 14:23, Joseba Alonso escribió: Echando un vistazo por ahí, parece que MD5 es más fácil revertir, pero que SHA-1 requiere de bastante computo así que la opción que comenta Joan en su blog parece bastante segura... Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:asnativos- [EMAIL PROTECTED] En nombre de Zárate Enviado el: miércoles, 11 de julio de 2007 14:05 Para: Lista dedicada a Actionscript Asunto: Re: [ASNativos] Sistema de Login AMFPHP Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le anayades el binario de AMFPHP, pues mejor. On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Buenas a todos !!! Actualmente tengo un sistema de login, funcionando con AMFPHP y encriptado con MD5. Estoy trabajando ahora en un nuevo framework para mis CMS, basado en AS3, y me gustaria preguntaros que sistemas usais para logear usuarios, cual considerais mas seguro y demas, en definitiva, conocer vuestras opiniones al respecto. Gracias de antemano !! Fede. - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com - - ASNativos www.5dms.com
Re: [ASNativos] Sistema de Login AMFPHP
Hola de nuevo! Desde el desconocimiento que pueda tener sobre seguridad en internet, creo que para una tienda, la encriptación MD5 o SHA-256 está bien. También depende de la importancia que tu le des a la seguridad en tus aplicaciones. Yo por ejemplo soy muy desconfiado y me gusta que mis aplicaciones sean seguras por lo que intento que en mis aplicaciones: A) identificación con uso de MD5 como mínimo para dificultar al menos algo el obtener los datos de identificación del usuario B) arrastre de la sesión iniciada para obtener cualquier dato sensible referente al usuario y dificultar un poco más el obtener datos privados C) En caso de recoger datos bancarios, montarlo sobre https Como dice Zarate... si hackean la web del pentagono poco tenemos que hacer si se empecinan en hackear cualquier aplicación nuestra, pero aún así, hay que poner lo más dificil posible que se obtengan datos que no se deben. Por último, yo no me complicaría demasiado en la identificación y lo haría tal y como tu has dicho, MD5 o SHA-256 Un saludo! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo he implementado el sistema de Joan en Flash y de verdad que no es nada complicado. 1 - Crear key en server y pasar por FlashVars a Flash 2 - A la hora de enviar, encriptar contrasenya del usuario, sumar a la key y encriptar todo 3 - En el servidor, leer de la base la contrasenya encriptada, sumar a la key y comprobar. Lo que es un conyazo es tener encriptada las contrasenyas en el servidor, porque eso obliga a que los recordar contrasenya no sean tan sencillos. Pero eso si que es algo muy basico de lo que no se puede prescindir. Y si a eso le sumas SSL, pues mejor, claro. Dicho esto, si hackean la web del pentagono, pues tambien lo haran con las nuestras a nada que se lo propongan. Pero me quedo mas tranquilo haciendo todo lo que puedo. Ea! On 7/11/07, Fede Rivas [EMAIL PROTECTED] wrote: Antes de ponerme con ello, y tomando el cafelito de rigor, me he dado una ultima vuelta por google y me he topado con estas librerias de encriptacion para AS3 : 1. http://crypto.hurlant.com/ 2. http://gsolofp.blogspot.com/2006/01/actionscript-3-md5-and-sha1.html La primera de ellas es muy potente y completa, permite encriptaciones de todo tipo tales como : Public Key Encryption: RSA (full.) Secret Key Encryption: AES, DES, 3DES, BlowFish, XTEA, RC4 Confidentiality Modes: ECB, CBC, CFB, CFB8, OFB, CTR Hashing Algorithms: MD2, MD5, SHA-1, SHA-224, SHA-256 Paddings available: PKCS#5, PKCS#1 Other Useful Stuff: HMAC, Random, TLS-PRF, some ASN-1/DER parsing La segunda, mucho mas sencilla, solo encripta MD5 y SHA-1. Pensando en no complicar demasiado todo con la key aleatoria, quiza sea mas sencillo encriptar la pass introducida por el user en el textField directamente, asi dicha pass viajará encriptada antes de la comprobacion en el servidor. Podria usar SHA-256 en vez de SHA-1. Todo esto, no es para un sistema que deba ser hiper-seguro, simplemente son tiendas online, y es para el acceso al CMS y poco mas, pero al menos, que tenga un minimo de seguridad, en principio debo descartar SSL. Estoy pegao en seguridad ... ¿ que os parece la idea ? Gracias de nuevo, Fede. El 11/07/2007, a las 16:15, Fede Rivas escribió: Buenas de nuevo ! Primero, muchas gracias a los dos. He estado leyendo el post de Joan, y en efecto, me parece muy interesante, asi que me liare manos a la obra esta tarde, con la modificacion de que almacenare la pass encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. A parte de esto, he pensado usar adicionalmente el sistema de roles que trae AMF, para bloquear usos indebidos en los servicios. Cuando lo tenga andando, os cuento a ver q tal !!! Gracias de nuevo ! Fede. El 11/07/2007, a las 14:23, Joseba Alonso escribió: Echando un vistazo por ahí, parece que MD5 es más fácil revertir, pero que SHA-1 requiere de bastante computo así que la opción que comenta Joan en su blog parece bastante segura... Joseba Alonso Pérez www.sidedev.net www.5dms.com -Mensaje original- De: [EMAIL PROTECTED] [mailto:asnativos- [EMAIL PROTECTED] En nombre de Zárate Enviado el: miércoles, 11 de julio de 2007 14:05 Para: Lista dedicada a Actionscript Asunto: Re: [ASNativos] Sistema de Login AMFPHP Ummm, hemos cruzado mails Joseba :) Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo sentido. Es decir, no lo puedes desencriptar. El paso mas que da el post de Joan, es que el MD5 que se manda es una suma de la contrasenya real y una key aleatoria generada en el servidor. Salud! On 7/11/07, Zárate [EMAIL PROTECTED] wrote: Yo ultimamente he implementado este metodo que comentaba Joan Garnet: http://www.joangarnet.com/blog/?p=439 Supongo habras hecho algo parecido. Si ademas le
Re: [ASNativos] Sistema de Login AMFPHP
To: asnativos@5dms.com Md5 es asimetrico, en teoria no deveria ser reversible no ?¿ recuerdo que varias palabras podian dar un mismo resultado , osea 3 passwords diferentes generar la misma encryptacion, y ahi podias colarte con brute forcing, pero el problema te lo daba el hash es lo realmente chungo de 'superar'. Recuerdo que es la codificacion que usan en phpbb por ejemplo.En su dia lo trasteé . con un miniscript que me paso cierto asnativo, se podia conseguir el pass de users de phpbb, sencillamente captandolo antes de que codifique md5,sin reventar mucho... Y recuerdo que en la bd si lo guardaba encryptado, con un hash unico de user aparte del que se crea en el proceso de login, y por lo que lei, esto si que lo hacia imposible de descifrar. Un tema muy interesante ^_^ Usan flash en el pentagono ? que me pongo a ello ya mismo - ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -
