Ofuscar codigo HTML(campo password)???? AYUDA!!!

22/10/2003 - 15:20 por David García | Informe spam
Hola a todos/as Foreros/as:
Tengo una validación de una contraseña y por lo tanto el campo es password,
pero en el codigo fuente del cliente puedo ver su value. Como podria
ofuscarlo???
Muchas gracias.
David

Preguntas similare

Leer las respuestas

#1 Daniel Álvarez
22/10/2003 - 16:27 | Informe spam
Creo que estas diciendo que muestras un campo password con valor y que se
puede ver desde el codigo fuente ¿no?. Bien para ocultarlo debes cambiar el
password verdadero por una etiqueta que tu uses internamente por ejemplo:

#claveverdadera#

Si permites la modificación del password lo unico que debes validar es que
el campo sea diferente a #claveverdadera# y solucionado. SI no te modifican
tu no debes guardar nunca en la db ese valor.

Es muy raro que alguien ponga como password #claveverdadera#, no obstante si
te quieres asegurar puedes poner un valor con un huevo de cifras:

23842984093284823'98534098593485906688649865092

Asi solucionas el problema del codigo fuente.


Daniel Álvarez




"David García" escribió en el mensaje
news:
Hola a todos/as Foreros/as:
Tengo una validación de una contraseña y por lo tanto el campo es


password,
pero en el codigo fuente del cliente puedo ver su value. Como podria
ofuscarlo???
Muchas gracias.
David


Respuesta Responder a este mensaje
#2 David García
22/10/2003 - 17:05 | Informe spam
Agradezco tu solución.
Pero para hacer eso, prefiero aplicar algun algoritmo de cifrado en el
servidor y que gusrade la password cifrado.
El problema estaría resuelto si por ejemplo con Window script encoder
pudiese ofuscar codigo de cliente.

Alguna otra idea???
Muchas gracias.
Respuesta Responder a este mensaje
#3 David García
22/10/2003 - 17:23 | Informe spam
que gusrade = que ofuscase... sorry
Respuesta Responder a este mensaje
#4 Daniel Álvarez
22/10/2003 - 17:49 | Informe spam
Pues entonces guardalo encriptado usando un algoritmo en el servidor, por
que el Window Scritp Encoder encripta y desencripta, vamos que te pueden ver
facilmente el valor.

Daniel Álvarez




"David García" escribió en el mensaje
news:
Agradezco tu solución.
Pero para hacer eso, prefiero aplicar algun algoritmo de cifrado en el
servidor y que gusrade la password cifrado.
El problema estaría resuelto si por ejemplo con Window script encoder
pudiese ofuscar codigo de cliente.

Alguna otra idea???
Muchas gracias.


Respuesta Responder a este mensaje
#5 Dani Castillo
23/10/2003 - 08:44 | Informe spam
En ningun caso deberia poder verse el password en el codigo fuente de tu web

¿lo estas pasando por un campo hidden oculto? (o por cookies o similares)??

usa un campo de contraseña (de los de asteriscos tipicos) para pedirselo al
cliente, recibelo por request.form, guardalo en session, de esta forma NO
aparece nunca en ver/codigo fuente del cliente

mejor aun, NO guardes la clave en session, guarda solo usuario, y una nota
sobre si la clave es correcta o no, por ejemplo:

base de datos de usuarios (o un solo usuario lo q quieras claro) , con
usuario/clave
cuando entra un usuario, presentas form de user/password y lo mandas a un
asp (el password con input de tipo contraseña)

el asp recibe esos valores, busca en la db, si no lo encuentra dice
accesonoautorizado
si lo encuentra , y es correcta la contraseña, haces
session("usuario")=request.form("usuario")
session("validado")="1"

de esta forma la unica opcion para conocer la clave de un usuario es tener
tu base de datos de usuarios (q por supuesto guardas en un directorio NO
accesible desde el navegador)

opcion mas compleja pero tb mas segura:

guardas en la db el usuario, y la clave, pero la clave la guardas
encriptada, con un algoritmo unidireccional (es decir, que NO sea
desencriptable)

cuando ingresa un usuario, obtienes su nombre, y su password, encriptas la
pasword, y buscas la clave encriptada en la base de datos

de esta forma, ni teniendo la base de datos se pueden obtener los
usuarios/contraseñas ( depende de la fuerza de tu algoritmo de encriptacion
claro, hay varios, puedes buscar en google aspcrypt que creo q era una
implementacion del crypt de linux para asp, NO es insalvable claro pero va
bastante bien, hay muchos mas)

usar un algoritmo bidireccional (encriptable y desencriptable) en este caso
no es muy util



"David García" escribió en el mensaje
news:
Hola a todos/as Foreros/as:
Tengo una validación de una contraseña y por lo tanto el campo es


password,
pero en el codigo fuente del cliente puedo ver su value. Como podria
ofuscarlo???
Muchas gracias.
David


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida