PrincipalForosGeneralForos generales

En Drupal, ¿van los passwords encriptados?

Mayo 15, 2008 - 09:31 — joancatala

Hola,
Tengo una duda sobre un tema de seguridad: ¿son los formularios de acceso a Drupal (http://TU_SITIO/user) seguros? ¿podría un cracker con un sniffer pillar al vuelo la contraseña del usuario administrador?

Me gustaría saber este tema pues administro diversos sitios Drupal y algunos son importantes.

‹ permisos funcionan para una pagina?? Elegir Hosting ›

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.
Mayo 15, 2008 - 13:39 — Martin GERSBACH

no la veo

Donde puedes interponerte es entre el cliente y el server snifeando puertos = Nadie haria eso a menos de estar seguro que conozcas una IP realmente interesante dado que luego tienes mucha data a tratar > La solucion a eso es SSL

Respecto a las passwd, estan guardados en md5 (dudo que hoy dia un CMS no encripte las passws) pero si algien tuviese acceso a ellos seria cosa de pasarle con el John de Ripper y te lo fumas en un rato (con unos cuantos MIPs a mano).

En definitiva : la seguridad no es una tecnica (y menos aun un software) sino una politica.

pd : si alguien se encapricha contigo y pone un poco de tiempo... en algun momento lo tendras dentro de tu casa.

salutes

www.gersbach.net
«No entiendes realmente algo a menos que seas capaz de explicárselo a tu abuela». Albert Einstein

Mayo 15, 2008 - 20:48 — harriak

Estoy totalmente conforme

Estoy totalmente conforme con lo que ha dicho Martin.

Te comento, para el portal de la Junta de Andalucia vamos a implantar tres capas de seguridad.

La primera mediante vpt, que va ha permitir que solo una ip concreta pueda acceder al área de administración, esto se consigue controlando la url de Drupal en el servidor, es decir que solo la ip xxx.xxx.xxx pueda acceder a http://dominio.es/admin o http://www.dominio.es?q=admin

La segunda, dejaremos dormido el rol 1, y únicamente lo activaremos cuando tengamos que hacer updates, o instalaciones de módulos. Para darle mayor seguridad a esto, existirá un usuario "fantasma" dentro de la herramienta que tendrá por función el activar el rol de los usuarios. Como esta activación va a traves de la url de admin, y tenemos la uvp para evitar que se cuele cualquiera en las urls de administración evitamos que aunque roben la clave puedan hacer algo malo en la herramienta.

Pero si roban la clave de administrador, usuario 1 podrían editar/borrar el contenido de otros usuarios, es por eso que además vamos a utilizar como tercera capa un módulo de segurida que permite dar una ip a un usuario o rol, de tal forma que solo ese usuario o rol puede acceder a su cuenta desde dicha ip. Este módulo esta aun en fase beta, pero en cuanto salga a producción lo usaremos. Mañana escribo el nombre del módulo.

Y sobre todo: nunca guardar claves en los ordenadores.
siempre usar claves alfa-numericas-signos.
usar linux, es más seguro que windows.
Una buena política de back ups de bases de datos.
Una buena política de roles, no es bueno que un usuario acumule mucho "poder", yo siempre prefiero tener varios usuarios con roles diferentes.

Un saludo

Oskar

gestión del conocimiento y de la información con software libre

Mayo 15, 2008 - 12:07 — Eleazan

No soy un experto en

No soy un experto en seguridad......... pero la encriptación no va en el servidor?

es decir, la comunicación `cliente-servidor` si tienes un "man-in-the-middle" te la podria pillar, no?
No sé si Drupal, antes de enviarlo, los tratará de alguna forma (con AJAX(AHAH) o JS o HTML >.<)

PD: MITM: dicese de aquella técnica de suplantacion de ordenadores, que consiste en `engañar` a ambos lados, cliente y servidor, haciendoles creer que tu eres cliente(caso servidor) y servidor(caso cliente). Simplemente, te pones en medio, y pasas los paquetes de uno a otro, después de leerlos :D

Mayo 15, 2008 - 10:26 — jmaties

Si, en

Si, en md5

www.javiermaties.com