Encriptar y variables de sesión
Hola smunoz!, quisiera saber dos cosas:
1) Como se puede hacer en asp para encriptar el user and pass que se envía por el método 'post' en un formulario hacia la página de validación de usuario (que busca en una base de datos), de manera que no lo capturen mientras viaja por la red, digamos con un sniffer,
2) Cuanto es la cantidad de variables de sesión por usuario que recomiendas para utilizar en unaplicacion de asp, supongamos que la tabla de usuario tiene otros campos y se los asigno a las sesiones, quisiera saber en cuanto afecta el rendimieno.
Te agradecería tu respuesta cualquiera que sea, entre más detallada mucho mejor, gracias, atentamente, jorge
1) Como se puede hacer en asp para encriptar el user and pass que se envía por el método 'post' en un formulario hacia la página de validación de usuario (que busca en una base de datos), de manera que no lo capturen mientras viaja por la red, digamos con un sniffer,
2) Cuanto es la cantidad de variables de sesión por usuario que recomiendas para utilizar en unaplicacion de asp, supongamos que la tabla de usuario tiene otros campos y se los asigno a las sesiones, quisiera saber en cuanto afecta el rendimieno.
Te agradecería tu respuesta cualquiera que sea, entre más detallada mucho mejor, gracias, atentamente, jorge
1 Respuesta
Respuesta de smunoz
1
Por puntos:
1) Una posibilidad es utilizar encriptación SSL (puerto TCP/IP 443, creo recordar). Para ello necesitas instalar un certificado de servidor en el servidor. Una vez instalado, habilitas el puerto 443 como seguro y accedes a tus páginas mediante el prefijo "https:" en lugar de "http:". Si no quieres certificar el servidor (vale un dinerillo), siempre puedes cifrar el password en el cliente mediante alguna función tuya de script, pasarlo al servidor, y allí descifrarlo. O te construyes un ActiveX o un applet de Java para introducir allí el password, cifrarlo (ya no hay script en el cliente y por tanto no conocerá tu algoritmo de cifrado) y pasarlo al servidor, para después descrifrarlo allí. En cualquier caso, a menos que tu aplicación sea de especial interés para los hackers, yo no me preocuparía demasiado...
2) Puedes definir las que quieras, pero cuantas menos mejor, por dos motivos: porque consumirán menos memoria del servidor, y porque te facilitará la programación.
1) Una posibilidad es utilizar encriptación SSL (puerto TCP/IP 443, creo recordar). Para ello necesitas instalar un certificado de servidor en el servidor. Una vez instalado, habilitas el puerto 443 como seguro y accedes a tus páginas mediante el prefijo "https:" en lugar de "http:". Si no quieres certificar el servidor (vale un dinerillo), siempre puedes cifrar el password en el cliente mediante alguna función tuya de script, pasarlo al servidor, y allí descifrarlo. O te construyes un ActiveX o un applet de Java para introducir allí el password, cifrarlo (ya no hay script en el cliente y por tanto no conocerá tu algoritmo de cifrado) y pasarlo al servidor, para después descrifrarlo allí. En cualquier caso, a menos que tu aplicación sea de especial interés para los hackers, yo no me preocuparía demasiado...
2) Puedes definir las que quieras, pero cuantas menos mejor, por dos motivos: porque consumirán menos memoria del servidor, y porque te facilitará la programación.
