Yo he implementado el sistema de Joan en Flash y de verdad que no es nada complicado.
1 - Crear key en server y pasar por FlashVars a Flash 2 - A la hora de enviar, encriptar contrasenya del usuario, sumar a la key y encriptar todo 3 - En el servidor, leer de la base la contrasenya encriptada, sumar a la key y comprobar. Lo que es un conyazo es tener encriptada las contrasenyas en el servidor, porque eso obliga a que los "recordar contrasenya" no sean tan sencillos. Pero eso si que es algo muy basico de lo que no se puede prescindir. Y si a eso le sumas SSL, pues mejor, claro. Dicho esto, si hackean la web del pentagono, pues tambien lo haran con las nuestras a nada que se lo propongan. Pero me quedo mas tranquilo haciendo todo lo que puedo. Ea! On 7/11/07, Fede Rivas <[EMAIL PROTECTED]> wrote: > Antes de ponerme con ello, y tomando el cafelito de rigor, me he dado > una ultima vuelta por google y me he topado con estas librerias de > encriptacion para AS3 : > > 1. http://crypto.hurlant.com/ > > 2. http://gsolofp.blogspot.com/2006/01/actionscript-3-md5-and-sha1.html > > La primera de ellas es muy potente y completa, permite encriptaciones > de todo tipo tales como : > Public Key Encryption: RSA (full.) > Secret Key Encryption: AES, DES, 3DES, BlowFish, XTEA, RC4 > Confidentiality Modes: ECB, CBC, CFB, CFB8, OFB, CTR > Hashing Algorithms: MD2, MD5, SHA-1, SHA-224, SHA-256 > Paddings available: PKCS#5, PKCS#1 > Other Useful Stuff: HMAC, Random, TLS-PRF, some ASN-1/DER parsing > La segunda, mucho mas sencilla, solo encripta MD5 y SHA-1. > > Pensando en no complicar demasiado todo con la key aleatoria, quiza > sea mas sencillo encriptar la pass introducida por el user en el > textField directamente, asi dicha pass viajará encriptada antes de la > comprobacion en el servidor. Podria usar SHA-256 en vez de SHA-1. > > Todo esto, no es para un sistema que deba ser hiper-seguro, > simplemente son tiendas online, y es para el acceso al CMS y poco > mas, pero al menos, que tenga un minimo de seguridad, en principio > debo descartar SSL. > > Estoy pegao en seguridad ... ¿ que os parece la idea ? > > Gracias de nuevo, > > Fede. > > El 11/07/2007, a las 16:15, Fede Rivas escribió: > > > Buenas de nuevo ! > > Primero, muchas gracias a los dos. He estado leyendo el post de Joan, > > y en efecto, me parece muy interesante, asi que me liare manos a la > > obra esta tarde, con la modificacion de que almacenare la pass > > encriptada en la BD con SHA-1 en vez de con MD5 como hasta ahora. > > > > A parte de esto, he pensado usar adicionalmente el sistema de roles > > que trae AMF, para bloquear usos indebidos en los servicios. > > > > Cuando lo tenga andando, os cuento a ver q tal !!! > > > > Gracias de nuevo ! > > > > Fede. > > > > > > El 11/07/2007, a las 14:23, Joseba Alonso escribió: > > > >> Echando un vistazo por ahí, parece que MD5 es más fácil revertir, > >> pero que > >> SHA-1 requiere de bastante computo así que la opción que comenta > >> Joan en su > >> blog parece bastante segura... > >> > >> Joseba Alonso Pérez > >> www.sidedev.net > >> www.5dms.com > >> > >> > >>> -----Mensaje original----- > >>> De: [EMAIL PROTECTED] [mailto:asnativos- > >>> [EMAIL PROTECTED] En > >>> nombre de Zárate > >>> Enviado el: miércoles, 11 de julio de 2007 14:05 > >>> Para: Lista dedicada a Actionscript > >>> Asunto: Re: [ASNativos] Sistema de Login AMFPHP > >>> > >>> Ummm, hemos cruzado mails Joseba :) > >>> > >>> Yo diria que MD5 y SHA1 son sistemas de encriptacion de un solo > >>> sentido. Es decir, no lo puedes desencriptar. > >>> > >>> El paso mas que da el post de Joan, es que el MD5 que se manda es > >>> una > >>> suma de la contrasenya real y una key aleatoria generada en el > >>> servidor. > >>> > >>> Salud! > >>> > >>> On 7/11/07, Zárate <[EMAIL PROTECTED]> wrote: > >>>> Yo ultimamente he implementado este metodo que comentaba Joan > >>>> Garnet: > >>>> > >>>> http://www.joangarnet.com/blog/?p=439 > >>>> > >>>> Supongo habras hecho algo parecido. Si ademas le anayades el > >>>> binario > >>>> de AMFPHP, pues mejor. > >>>> > >>>> On 7/11/07, Fede Rivas <[EMAIL PROTECTED]> wrote: > >>>>> Buenas a todos !!! > >>>>> Actualmente tengo un sistema de login, funcionando con AMFPHP y > >>>>> encriptado con MD5. Estoy trabajando ahora en un nuevo framework > >>> para > >>>>> mis CMS, basado en AS3, y me gustaria preguntaros que sistemas > >>> usais > >>>>> para logear usuarios, cual considerais mas seguro y demas, en > >>>>> definitiva, conocer vuestras opiniones al respecto. > >>>>> > >>>>> Gracias de antemano !! > >>>>> > >>>>> Fede. > >>>>> > >>>>> ----------------------------------------------------- > >>>>> ASNativos > >>>>> www.5dms.com > >>>>> subscripciones/desubscripciones > >>>>> http://asnativos.5dms.com > >>>>> ----------------------------------------------------- > >>>>> > >>>> > >>>> > >>>> -- > >>>> Juan Delgado - Zárate > >>>> http://zarate.tv > >>>> http://dandolachapa.com > >>>> http://loqueyosede.com > >>>> > >>> > >>> > >>> -- > >>> Juan Delgado - Zárate > >>> http://zarate.tv > >>> http://dandolachapa.com > >>> http://loqueyosede.com > >>> > >>> ----------------------------------------------------- > >>> ASNativos > >>> www.5dms.com > >>> subscripciones/desubscripciones > >>> http://asnativos.5dms.com > >>> ----------------------------------------------------- > >> > >> > >> ----------------------------------------------------- > >> ASNativos > >> www.5dms.com > >> subscripciones/desubscripciones > >> http://asnativos.5dms.com > >> ----------------------------------------------------- > >> > > > > > > ----------------------------------------------------- > > ASNativos > > www.5dms.com > > subscripciones/desubscripciones > > http://asnativos.5dms.com > > ----------------------------------------------------- > > > > ----------------------------------------------------- > ASNativos > www.5dms.com > subscripciones/desubscripciones > http://asnativos.5dms.com > ----------------------------------------------------- > -- Juan Delgado - Zárate http://zarate.tv http://dandolachapa.com http://loqueyosede.com ----------------------------------------------------- ASNativos www.5dms.com subscripciones/desubscripciones http://asnativos.5dms.com -----------------------------------------------------
