Entrar Regístrate
 
General - Mejoras en seguridad
#1 · · Editado por LiM

Como ya adelante ayer, a continuación os mostramos las mejoras y algunas novedades que hemos realizados estos ultimos dias motivados entre otras cosas por el nuevo hackeo de cuentas de usuario.

Contraseñas encriptadas

Ahora todas las contraseñas se guardan en la base de datos encriptadas. Hasta ahora en diversas secciones de miarroba.com, y sobre todo en su base de usuarios principal, la contraseña se guarda en modo plano, es decir, si la contraseña era "LAPIZ", se guardaba "LAPIZ" con lo cual, si se llega a leer los datos de un usuario, veriamos a simple vista la palabra "LAPIZ" como contraseña, y una vez tenemos esa contraseña podriamos entrar a la cuenta del usuario sin ningun problema.

Ahora, en la base de datos no se guarda la contraseña, sino un HASH que identifica dicha contraseña, por ejemplo, el HASH MD5 de "LAPIZ" seria "7a059dcbfcaf666d04326f8afe4fa9d3", con lo cual si el hacker consiguiese ese HASH tendria que descubrir que ese HASH corresponde a "LAPIZ", por lo cual la posibilidad de entrar a una cuenta de usuario es casi imposible. por supuesto este sistema no es infalible, pero es el que usan todas las páginas web hoy en dia.

Nueva sección de cambio de contraseña

Ahora la sección de cambio de contraseña va separada de la opción modificar perfil, y necesitara de la contraseña antigua para poder hacer efectivo el cambio de contraseña.

Reseteo de contraseña

Debido a que las contrseñas se guardan encriptadas, no se puede recuperar la contraseña actual como antes, sino que hay que provocar un reseteo y generar una contraseña aleatoria si hemos olvidado la actual, el sistema funciona igual que el anterior, con la diferencia que cuando solicitamos y confirmamos la "recuperación" de la contraseña, se nos genera automaticamente una nueva.

Nueva seccion de Ultimos Accesos en el espacio del usuario

Ahora en el espacio del usuario es posible consultar los ultimos 15 accesos (conexiones) realizadas con el usuario actual a miarroba.com o cualquiera de sus foros, asi sabremos cuando nos hemos conectado y donde.



Luis Mendaña
http://miarroba.es
LiM
Administrador del foro
Administrador del foro
Haz clic para ver el perfil del usuario
Mensajes: 5.813
Desde: 07/Mar/2002
· ·
#2 ·

¿MD5?

Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...

Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...


invisible_here
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 7
Desde: 10/Mar/2009
·
#3 ·
Escrito originalmente por invisible_here

¿MD5?

Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...

Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...

En ningun momento he dicho que usemos MD5, he puesto como ejemplo un HASH MD5, nada más ;)



Luis Mendaña
http://miarroba.es
LiM
Administrador del foro
Administrador del foro
Haz clic para ver el perfil del usuario
Mensajes: 5.813
Desde: 07/Mar/2002
· ·
#4 ·

¿Y que algoritmo se usa? (si no es indiscreción xD)

P.D: hey reactivame mi cuenta de necesito_ayuda, que aun estoy sin poder acceder plis....


invisible_here
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 7
Desde: 10/Mar/2009
·
#5 ·
Escrito originalmente por invisible_here

¿Y que algoritmo se usa? (si no es indiscreción xD)

Mejor no saberlo no? :)



Luis Mendaña
http://miarroba.es
LiM
Administrador del foro
Administrador del foro
Haz clic para ver el perfil del usuario
Mensajes: 5.813
Desde: 07/Mar/2002
· ·
#6 ·
Escrito originalmente por invisible_here

¿Y que algoritmo se usa? (si no es indiscreción xD)

No es que yo entienda mucho, pero mejor no dar pistas, no? Que como tenga que volver a cambiar mi contraseña esta semana mi cabeza va a estallar...


100x100net
@man / @woman
@man / @woman
Haz clic para ver el perfil del usuario
Mensajes: 3.320
Desde: 15/Ago/2008
· ·
#7 ·
Escrito originalmente por invisible_here

¿MD5?

Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...

Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...

Primero que nada los MD5 no se desencriptan si no que se crackean , empieza a leer y deja de postear tanta ignorancia.

La md5 es tan segura como el SHA1 o cualquier hash , ahy ya radica en la contraseña de la persona , por ejemplo la contraseña de necesito_ayuda en menos de un dia la tendria , en cambio la de H-black me hubiese demorado demaciado .

Felicitaciones , me alegro que el ataque sirviera para mejorar la seguridad :)


YouAre0wned
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 8
Desde: 10/Mar/2009
·
#8 ·

votaba*


YouAre0wned
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 8
Desde: 10/Mar/2009
·
#9 ·
Este mensaje no se muestra porque su autor está baneado
Galland
Usuario baneado
Usuario baneado
Haz clic para ver el perfil del usuario
Mensajes: 223
Desde: 13/May/2005
· ·
#10 ·

a ver si esto no lo fastidian mas. sabes para cuando estaran abiertas las altas de nuevos sitios perdona que insistantanto pero es que tengo que probar una pagina a ver si va todo bien

gracias


Dasis
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 3
Desde: 10/Mar/2009
·
#11 ·

me parecen acertadas las mejoras pero me temo que han llegado 2 meses tarde!!! http://soporte.miarroba.com/9109/76[....]menzar-a-encriptar-las-contrasenas/ hace + de 2 meses un usser de este soporte (que no soy yo justamente) presentó una importante sugerencia que tal vez hubiese evitado lo sucedido o ayudado a la seguridad del servidor... en ese momento todos estuvieron de acuerdo sobre su sugerencia... pero una vez + lamentablemente no se hizo lo que debió haberse hecho... Eso me lleva a suponer que -pese a los denodados esfuerzos de quienes quieren ayudar a mi@ con sugerencias- la seguridad no es una prioridad para los responsables... Es una pena que esto sea así, pero en última instancia lim es el responsable de velar por la excelencia del servidor y si él ha hecho caso omiso a las sugerencias que a nuestro criterio favorecen a su servidor creo que nada + debe decirse contra él... cada quién sabe cómo debe gestionar un servidor... yo sólo doy una opinión que muchos comparten pero pocos la hacen pública... Sólo espero que por el bien de los ussers, que las cosas mejoren, porque hay mucha gente que tienen proyectos que le han insumado mucho trabajo en mi@ todavía... Hasta luego


Astrall
Machacateclados
Machacateclados
Haz clic para ver el perfil del usuario
Mensajes: 129
Desde: 26/Abr/2007
·
#12 ·
Este mensaje no se muestra porque su autor está baneado
Galland
Usuario baneado
Usuario baneado
Haz clic para ver el perfil del usuario
Mensajes: 223
Desde: 13/May/2005
· ·
#13 ·

Te das cuenta a simple vista si es md5 o sha-1 por la longitud

:(^^


RisaK
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 3
Desde: 01/Feb/2009
·
#14 ·
Escrito originalmente por SirSaver

Te das cuenta a simple vista si es md5 o sha-1 por la longitud

:(^^

No son los unicos tipos de hash , tambien estan los mysql , md4 , etc..


YouAre0wned
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 8
Desde: 10/Mar/2009
·
#15 ·

alguien sabria decirme porque se encuentran desactivadas las altas de los espacios web¿? y cuando volveran a estar operativas¿?. Muchas gracias de antemano. ;)


luisod
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 3
Desde: 27/Abr/2004
· ·
#16 ·
Escrito originalmente por luisod

alguien sabria decirme porque se encuentran desactivadas las altas de los espacios web¿? y cuando volveran a estar operativas¿?. Muchas gracias de antemano. ;)

el por qué, porque estan trabajando para que funcionen con el sistema de encriptado. Y el cuándo, pues se supone que ya debian estar activas desde hace  semana...


K1ll1ng_M4ch1n3
Usuario habitual
Usuario habitual
Haz clic para ver el perfil del usuario
Mensajes: 91
Desde: 13/Feb/2008
· ·
#17 ·

gracias por contestarK1ll1ng_M4ch1n3aunque por más que lo intento siempre me sale un mensaje con "altas temporalmente desactivadas" espero que se solucione lo antes posible.


luisod
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 3
Desde: 27/Abr/2004
· ·
#18 ·
Escrito originalmente por luisod

... aunque por más que lo intento siempre me sale un mensaje con "altas temporalmente desactivadas" ...

El que sea temporal no significa que sea por unos minutos. Lleva días asi y todavía no se sabe cuantos mas deberán transcurrir.-





El que vence a los demás es poderoso, el que se vence a sí mismo es invencible


Torry_II
Moderador
Moderador
Haz clic para ver el perfil del usuario
Mensajes: 9.175
Desde: 07/Dic/2003
· ·
#19 ·
Escrito originalmente por Torry_II
Escrito originalmente por luisod

... aunque por más que lo intento siempre me sale un mensaje con "altas temporalmente desactivadas" ...

El que sea temporal no significa que sea por unos minutos. Lleva días asi y todavía no se sabe cuantos mas deberán transcurrir.-

Ya estan disponibles las altas de nuevos espacios web



Luis Mendaña
http://miarroba.es
LiM
Administrador del foro
Administrador del foro
Haz clic para ver el perfil del usuario
Mensajes: 5.813
Desde: 07/Mar/2002
· ·
#20 ·

de toda manera me quedaré mi 1ro foro aqui y en segundo en foroactivo...luego veré si aún tengo otro problema aqui, créaré otro alli ! :a) ademas hé visto que han añadido nuevas opciones como perfiles personalizados o sistema de reputacion...no tengo el tiempo crear otro pero...a ver lo que pasa...salu2


belladwardcullen
Usuario Novato
Usuario Novato
Haz clic para ver el perfil del usuario
Mensajes: 6
Desde: 10/Mar/2009
·
46 Mensajes
<<  <  1  2  3  >  >>
ATENCIÓN: Este tema no tiene actividad desde hace más de 6 MESES,
te recomendamos abrir un nuevo tema en lugar de responder al actual
Foro de soporte · General · Noticias de miarroba
Opciones:
Versión imprimible del tema
Subscríbete a este tema
Date de baja de este tema
Ir al subforo:  
TU NO PUEDES Escribir nuevos temas en este foro
TU NO PUEDES Responder a los temas en este foro
TU NO PUEDES Editar tus propios mensajes en este foro
TU NO PUEDES Borrar tus propios mensajes en este foro
Ahora son las 16:33 UTC+01:00
Temas similares
No se han encontrado temas similares