Codificar PHP_AUTH_USER y PHP_AUTH_PW

Iniciado por patilanz, 9 Octubre 2014, 23:32 PM

0 Miembros y 1 Visitante están viendo este tema.

patilanz

Hola tengo una pagina con autenticación HTTP que con un simple sniffer se consigue el usuario y la contraseña. Bueno pues como lo cifro por lo menos para hacer lo mas difícil. Utilizo hostinger gratuito y no tengo https.

Saludos

engel lex

#1
no puedes hacer ninguna conexión https o es que sale el aviso de seguridad?



supongamos que tu formulario es
user:
pass:

primero agregas una libreria que te permita hacer md5 en jscript... por ahí hay varias...

lo que haces es que en un campo hidden mandas un valor aleatorio, ese lo llamaremos salt, una vez el usuario meta sus datos y le de a enviar, hace algo como
mix = user + md5(pass)+salt;
md5_cadena=md5(mix);


dejas el campo de pass en blanco y solo pasas el user y md5_cadena, con el servidor haces algo como (supongo que tus claves por seguridad están almacenadas en md5) php tiene funciones integradas para md5

Código (php) [Seleccionar]
$salt=$_SESSION["salt"];//porque lo guardaste antes de pasarlo
$user = $_POST["user"];
$md5_cadena = $_POST["md5_cadena"];
/*aqui tu funcion para sacar el pass de la db para ese usuario*/
$pass = $pass_en_db;//la password que sacaste de la db
$md5_resultado = md5(user.pass.salt)
if($md5_cadena == $md5_resultado){
   echo "autenticado!";
}


pruebalo y limpialo... lo hice de vista así que no se que tanto funciona XD

en ese punto la clave es virtualmente indescifrable ligeramente más dificil de descifrar aún teniendo el salt
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.