Discussoes de Programacao e Tecnologia

Login com segurança

3 respostas
T
tiago_stos

Boa noite pessoal.

Eu estou desenvolvendo um sistema pra web, porém tenho uma questão que está me tirando o sono. Um dos principios de segurança em sistemas web é nunca enviar senha para o servidor como texto puro, e é exatamente nessa parte que consiste minha dúvida: como enviar a senha de uma forma segura?

A melhor saída que consigui encontrar até o momento é a utilização de SSL, porém o que podemos fazer caso não podermos utilizar SSL? Já ouvi várias dicas, mas todas me parecem ser inviáveis, que vão desde a utilização de javasscript para criptografar a senha e depois enviar até a utilização de applets.

Alguém tem alguma dica para me dar sobre o assunto, ou tem algum material que possa me indicar sobre o assunto?

Outra coisa, parando para pensar um pouco cheguei a conclusão de que muitos pequenos sistemas disponíveis na net hoje em dia não devem utilizar nenhuma forma de proteção para envio de senhas via web. Será isso mesmo, existem vários sistemas inseguros na internet, ou eu to viajando nessa?

Agradeço desde já.

Tiago dos Santos

Alura Desenvolvimento Front-End React Do primeiro componente à liderança técnica! HTML/CSS/JavaScript fundamental, React com hooks e...

3 Respostas

rodrigo.ferreira
rodrigo.ferreira

E aí Tiago, blz?

Então cara, o jeito mais “seguro” é utilizar SSL para criptografar toda a mensagem HTTP.

O que devemos considerar é que tudo que “viaja pela rede” pode ser capturado. Então, nada melhor que cifrarmos o que vai (e o que volta). Isso dificulta muito a ação de crackers.

Neste link (http://mircwiki.rsna.org/index.php?title=Configuring_Tomcat_to_Support_SSL) há um bom tutorial sobre como ativar SSL no TomCat… Estude isto; o princípio é o mesmo para os servidores “de produção”.

As outras alternativas (criptografar por JavaScript) não são muito seguras… afinal, alguém pode baixar seu “.js” facilmente e “decifrar” seu algoritmo rapidinho…

Quanto as “sites seguros”… Se quando algum site te pedir alguma informação importante (informações pessoas, senha, etc) e não tiver o “cadeadinho no navegador”, e o endereço não começar por “https://”, pode ter certeza que os dados que você estiver postanto alí podem ser facilmente capturados e “roubados” por alguém no meio do caminho, entre você e o site… Sem que ninguém fique sabendo. Portanto, cuidado.

Abraço,

Visite o Blog do Perereca: http://www.blogdoperereca.blogspot.com

T
tiago_stos

Realmente SSL é a solução. O maior problema com SSL é que, caso não se possa ou queira pagar por um certificado, pode assustar os usuários ao receber uma mensagem de erro de certificado. Bom, mas melhor do que deixar o sistema inseguro.

Valeu Rodrigo.

Deluxe
Deluxe

Pq quando vc cadastrar uma senha, gere um MD5 dela e armazene o MD5 em vez da senha em texto,
quando o usuario digitar a senha no campo, vc gera o MD5 da mesma e manda pro servidor, vai chegar la um codigo Hash enorme.

Criado 13 de maio de 2009
Ultima resposta 16 de mai. de 2009
Respostas 3
Participantes 3

Topicos relacionados

Compilar e executar uma classe java pelo prompt do windows 13 respostas [RESOLVIDO] Como executar função JavaScript após página carregada 13 respostas Java.lang.OutOfMemoryError: Java heap space - Como resolver? 11 respostas Como consultar CPF na Receita Federal usando Web Service? 22 respostas Como acessar localhost de forma externa? [RESOLVIDO] 13 respostas
Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.
Casa do Codigo Desmistificando WebAssembly: Alta performance,... Por Raphael Amorim — Casa do Codigo