First, nice work! I like it!
Now, my firefox 3.5.1 (win32) goes crazy when I press “Log in”.
It takes all the memory it can, like double (i have 512mb ram, and last time it used 1gb).
In IE7 It says that the script can make the browser unresponsive and I select to stop running it and the login is just fine. Works.

But in firefox 3.5.1 it’s not so easy. At work, I have 2bg RAM and the firefox is for a few seconds unresponsive the mem usage increases for a few times and in the end asks me to stop or to let the script to continue. I click stop and it logs in.

My question is: How do I debug? Is it a known/accepted problem?

Best regards,
Paul

El problema es la precision de los numeros de punto flotante definida en el php.ini del server. Si la precision es menor de 9, las funciones de desencryptado dan chocolate. En mis hostings estaba en 6.

Asique agregue una linea de codigo antes de llamar a estas funciones para solucionarlo y salio con fritas:

ini_set(”precision”,”9″);

Con respecto a la solucion de seguridad en si, le hice un par de cambios para hacerla mas segura. Ya que como dijeron varios en post anteriores, es facilmente hackeable mediante un ataque de replay, ya que la clave DES se genera en el cliente y la clave RSA privada es siempre la misma.

Asique cambie el codigo de forma que la clave aleaoria DES se genera en el server y se envia al cliente, pero cuando vuelven los datos encriptados desencripta con la clave generada que previamente guardo, no con la que viene del cliente, por si ha sido cambiada.

Y lo mas importante, si bien la clave publica del RSA es siempre la misma, la clave privada y el modulo, son generadas por el servidor en cada request del navegador, de forma que siempre esta cambiando para cada login.

Espero comentarios al respecto. Fernando estas ?

Saludos

Tengo un problema quizas me puedan dar una mano.

Lo tengo andando perfectamente sobre mi servidor local con Windows y WAMP5.

Pero en ninguno de los hostings que tengo sobre linux funciona. Y por lo que pude ver supongo que es un problema con los character sets. Ya que los strings se encriptan OK en el navegador y llegan OK al server, pero cuando el server los desencripta, no obtiene los strings originales, y a cambio obtiene otros caracteres, que comunmente he visto cuando el charset es diferente.

He probado poniendo los headers y las tags meta con utf-8, y con otros, inluso con us-ascii, pero siempre falla.

Ustedes con que charset lo tienen andando ? Lo tienen sobre linux ?

Les agradesco si me dan una mano y felicitaciones por el trabajo.

Saludos

Gabriel Badano

Ahora, a nivel de implementación, esta muy bueno para wordpress, pero creo que seria una herramienta potentisima y muy util en OsCommerce, lo cual es lo que yo ando buscando, y con esta idea voy a intentar desarrollar bajo estos conceptos datos.

Aun asi, me gustaria contar con el asesoramiento y opinion (y algun archivito en lo posible) como para no tener que ponerme a “hachear” todo el codigo de Wordpress y adaptarlo a otra necesidad.

De nuevo, muchas gracias Fernando!! =)

Yo sugiero que de lado servidor se genere una clave aleatoria que se concatenará a la contraseña en el lado cliente y se envié cifrado con RSA. Esta clave generada, por ejemplo, tendrá validez 1 minuto. Una vez llegada la información al lado servidor se descifraría con la clave privada RSA y se verificaría que la clave generada aleatoriamente por el servidor es correcta y esta dentro del limite de tiempo.

En resumen se enviara siempre un mensaje distinto y este debe ser siempre verificado en el servidor.

La encriptación no va a funcionar :s

Quién desactiva Javascript en el mundo real? je

¿Que pasa si tengo desactivado javascript en el navegador?

Ups!