Comentarios en: Cómo agregar una capa más de seguridad a un login

Por: johpunk

johpunk — Mon, 20 Jul 2009 12:10:20 +0000

esta bueno, y no muy dificil de hacer

Por: d3m4s1@d0v1v0

d3m4s1@d0v1v0 — Sat, 18 Jul 2009 17:12:51 +0000

Coincido con @seth, dejas afuera a los más básicos, aunque puede servir mejor que no poner nada.
Igualmente a partir de leer ésto me puse a pensar en una alternativa mejor, y se me terminó ocurriendo algo bastante bueno, aunque quizás no está tan relacionado con lo que vos queres hacer, depende como lo utilices, podria servir también.
Espero tu visita y comentario para ver que te parece.
Saludos

Por: Zerial

Zerial — Thu, 16 Jul 2009 16:26:41 +0000

@seth: Hola.
Bueno, esto que publiqué fue mas que nada por la experiencia que he tenido, me he topado en la universidad o en distintos lados que cualquier persona se baja una distribución Live y empieza a sniffear, ni si quiera saben lo que están haciendo.

Creo que no importa mucho que ellos puedan ver el codigo javascript, porque es un simple algoritmo para encriptar en md5, no tienen ninguna key, salt, ni nada.
Esto lo pense basicamente para dificultarle la tarea un poco (quizas muy poco) al atacante, cuando este sniffeando simplemente no pueda ver la password en texto plano y tenga que hacer el doble o triple de trabajo para poder desencriptar ese hash.
Como digo en el articulo, una de las cosas buenas es que el usuario quizas se va a poder logear al sistema con ese hash, pero no va a saber cual es su clave.

Pensé en hacerlo con SHA, pero esto es solo una prueba de concepto, se puede mejorar mucho.

saludos

Por: seth

seth — Thu, 16 Jul 2009 10:11:09 +0000

Pero un atacante que te esta sniffeando no es boludo, reconoce un hash y se loguea igual. también puede ver el javascript que vos mandas

Me parece mejor usar criptografia asimétrica y eso se lo dejo al ssl.

Igualmente, si lo queres usar te conviene usar un hash mas robusto como sha256

Por: Panic

Panic — Thu, 16 Jul 2009 04:58:49 +0000

Está de porno la música de fondo de la demostración me excite.

Buena info Zerial.

Por: _Dark_

_Dark_ — Wed, 15 Jul 2009 05:35:59 +0000

Wena zerial, excelente info para los incautos

Por: Zerial

Zerial — Wed, 15 Jul 2009 04:33:19 +0000

@hypn: El problema es que si uso una key, tengo que tener una key para cifrar y descifrar, como es javascript, podría obtener esa “key” entonces descifrar el hash.
De todas formas, con jquery se puede mejorar mucho esta funcionalidad, pero esto es solo una prueba de concepto

saludos

Por: hypn

hypn — Wed, 15 Jul 2009 04:28:47 +0000

Está demás decir que con el uso de jQuery de tu lado puedes lograr mejores encriptaciones usando una key.

Por ej, usando jQuery Crypt : http://plugins.jquery.com/project/crypt

Por: Iván Alexis

Iván Alexis — Wed, 15 Jul 2009 04:26:28 +0000

cool, npi que se podia encriptar en md5 con javascript ^^