Login com segurança

Boa noite pessoal.

Eu estou desenvolvendo um sistema pra web, porém tenho uma questão que está me tirando o sono. Um dos principios de segurança em sistemas web é nunca enviar senha para o servidor como texto puro, e é exatamente nessa parte que consiste minha dúvida: como enviar a senha de uma forma segura?

A melhor saída que consigui encontrar até o momento é a utilização de SSL, porém o que podemos fazer caso não podermos utilizar SSL? Já ouvi várias dicas, mas todas me parecem ser inviáveis, que vão desde a utilização de javasscript para criptografar a senha e depois enviar até a utilização de applets.

Alguém tem alguma dica para me dar sobre o assunto, ou tem algum material que possa me indicar sobre o assunto?

Outra coisa, parando para pensar um pouco cheguei a conclusão de que muitos pequenos sistemas disponíveis na net hoje em dia não devem utilizar nenhuma forma de proteção para envio de senhas via web. Será isso mesmo, existem vários sistemas inseguros na internet, ou eu to viajando nessa?

Agradeço desde já.

Tiago dos Santos

JavaGuru Membro desde: 28/08/2008 20:38:07 Mensagens: 200 Offline

E aí Tiago, blz?

Então cara, o jeito mais "seguro" é utilizar SSL para criptografar toda a mensagem HTTP.

O que devemos considerar é que tudo que "viaja pela rede" pode ser capturado. Então, nada melhor que cifrarmos o que vai (e o que volta). Isso dificulta muito a ação de crackers.

Neste link (http://mircwiki.rsna.org/index.php?title=Configuring_Tomcat_to_Support_SSL) há um bom tutorial sobre como ativar SSL no TomCat... Estude isto; o princípio é o mesmo para os servidores "de produção".

As outras alternativas (criptografar por JavaScript) não são muito seguras... afinal, alguém pode baixar seu ".js" facilmente e "decifrar" seu algoritmo rapidinho...

Quanto as "sites seguros"... Se quando algum site te pedir alguma informação importante (informações pessoas, senha, etc) e não tiver o "cadeadinho no navegador", e o endereço não começar por "https://", pode ter certeza que os dados que você estiver postanto alí podem ser facilmente capturados e "roubados" por alguém no meio do caminho, entre você e o site... Sem que ninguém fique sabendo. Portanto, cuidado.

Abraço,

Visite o Blog do Perereca: http://www.blogdoperereca.blogspot.com

Realmente SSL é a solução. O maior problema com SSL é que, caso não se possa ou queira pagar por um certificado, pode assustar os usuários ao receber uma mensagem de erro de certificado. Bom, mas melhor do que deixar o sistema inseguro.

Valeu Rodrigo.

Pq quando vc cadastrar uma senha, gere um MD5 dela e armazene o MD5 em vez da senha em texto,
quando o usuario digitar a senha no campo, vc gera o MD5 da mesma e manda pro servidor, vai chegar la um codigo Hash enorme.

Notícias, artigos e o maior fórum brasileiro sobre Java