[Perl] Variables de ambiente

Tue, 2 Jul 2002 18:53:40 -0500 (CDT)

On Tue, 2 Jul 2002, Gunnar Wolf wrote:

> Lo sabe porque el navegador usa el mismo algoritmo que t=FA, junto con =
la
> informaci=F3n que t=FA le diste, para calcular una cadena que responde =
a una
> funci=F3n de la contrase=F1a, de modo que es muy dif=EDcil calcular a p=
artir de
> esta cadena la contrase=F1a original.

 Nop, dentro de la transacci=F3n http el browser s=ED envia el
password (de hecho lo envia con cada request a partir de que
se autentifica) s=F3lo que no el servidor no "publica" ese
dato en las variables, lo =FAnico que expone es el nombre del
usuario en la variable REMOTE_USER para que quien espera al
el dato lo tenga. Cuando escribes una rutina de
autentificaci=F3n (mesmo que estamos haciendo en este momento
con mod_perl modificando el TicketAccess) apache te pasa el
request object con todo lo que viene dentro y puedes
manipularlo a placer.

> La contrase=F1a nunca es transmitida en claro. Ah, claro, y el servidor
> tampoco la guarda en claro - guarda =FAnicamente una funci=F3n de ella.

 Ups... bueno... no pero s=ED...

 El browser lo envia "ofuscado" pero es un un "yofo
tefedifigofo cofomofo" por lo que todo paso de passwords
deber=EDa ir por una conexi=F3n https.

> Normalmente lo hace con DES, me parece que pocos navegadores soportan M=
D5
> (tal vez mi informaci=F3n sea vieja), pero si puedes usar MD5, es mucho
> mejor.

 Eso lo implementas del lado del servidor en donde almacenas
el dato. Por ejemplo, htpass (con lo que mantines los
.htacess) acepta crypt (no en windows), md5, sha y texto
plano (s=F3lo en windows) como metodo de almacenamiento.

 Saludos,
 To=F1o
---
Unquestionably, there is progress.  The average American now pays out
twice as much in taxes as he formerly got in wages.
		-- H. L. Mencken