Desarrollo y diseño

Portar usuarios de phpbb3 a otra plataforma

BLZKZ
BLZKZ #1 Abr '11

Pues eso, me da que va a ser imposible migrarlo por el tema contraseñas. He pensado en tirar de copy&paste burro para usar las mismas funciones para "encriptar" las contraseñas y así poder portarlo, pero no me mola nada usar un sistema tan extendido por temas de seguridad.

También he pensado que lo que hace no es mas que aplicar md5hash trillones de veces, y sumar y demás, por lo que hasta donde se solo se rompe por fuerza bruta por lo que la seguridad no estaría comprometida.

Quiero saber opiniones de cómo lo hariais vosotros xD

SikorZ
SikorZ #2 Abr '11 El Gran Carlemany

Yo simplemente portaria los datos (cosa no muy dificil, adaptando las tablas y to la paranoia y luego para el tema de adaptar las contraseñas si por ejemplo en phpbb3 es md5(hash) y en joomla es md5(hash:salt) pues simplemente dejas el md5() para que sea igual que en phpbb3 es un apaño que hara que sea compatible. Porque lo que es desencriptar todas las pw's y ponerlas al nuevo formato directamente olvidemonos xDD...

Otra opcion puede ser un reinicio de contraseñas, ponder contraseñas aleatorias y default a todos los usuarios de nuevo y mandarlos en un correo y ya esta, quien quiera cambiar la contraseña que lo haga, pero esta vez se estara usando el formato correcto de esa X plataforma nueva que quieras usar, yo son las 2 opciones que veo mas factibles y productivas

1 respuesta
X-Crim
X-Crim #3 Abr '11 Moderador Mario Kart

#2 veo mejor el reinicio de contraseñas xD menos follón no?

1 respuesta
BLZKZ
BLZKZ #4 Abr '11

#3 Hombre, tengo localizadas las funciones que "codifican" la contraseña. El tema del reinicio es que lo mismo no compensa hacerlo para 2.300 usuarios xD

Creo que optaré por eso -.-

He pensado una mezcla de ambas, al logear, comprobar primero con mi sistema de encriptacion y luego con el de phpbb. En el caso de que el correcto sea este último, obligar a cambiar la contraseña xD

1 respuesta
SikorZ
SikorZ #5 Abr '11 El Gran Carlemany

#4 Eso ultimo que has dicho es un lio que no te lo crees ni tu xDDD (esto suena un poco chulesco lo siento xDD)... es una opcion, no te digo que no, pero el mandar las pws nuevas es lo que haria cualquier sistema de hoy en dia... yo creo que es lo mejor para ti y para los demas xD

soz si mi comment ha parecido chulesco porque no era mi intencion xD

1 respuesta
BLZKZ
BLZKZ #6 Abr '11

#5 No me ha parecido chulesco xD.
¿un lio? simplemente es una doble comprobación devolviendo un valor junto con el true o false que del exito, que te diga con qué metodo se hizo, si es con uno en vez de redirigir al inicio rediriges a un form que te explica la situación.

El problema es que la web que tengo es totalmente casual, y la gente que entra es muy posible que sea como mi madre, que no lee su correo ni a tiros y como le salga todo el rato "contraseña incorrecta" ya veras tu xD

1 respuesta
SikorZ
SikorZ #7 Abr '11 El Gran Carlemany

#6 Si, casi mejor que si
antigua_contraseña{
valor true:
Enseñe un form que simplemente cree una nueva contraseña, solo pida eso, la contraseña 2 veces (la nueva)
break;
valor false:

  • si es contraseña nueva le lanzamos a la web
  • Y si no pues que la ha metido mal como siempre
    break;

enfin ya como lo hagas es cosa tuya, yo creo que lo que dices es lo mejor si son personas muyu casuals xD

guner
guner #8 Abr '11

Otra opción que veo es.

conservas la tabla del phpbb
portas los usuarios sin contraseña al nuevo sistema

a la hora de hacer login:

  1. comprueba que el usuario existe en phpbb.
    ¿existe? -> Sí: ve al punto 2. No: Ve al punto 3.

  2. ¿puede entrar por el sistema phpbb? -> genera la contraseña del otro sistema y la almacenas en su registro correspondiente. Borra el registro de usuario en phpbb.

  3. Si no existe el usuario en phpbb salta al de login por el nuevo sistema.

edit:
La ventaja es que así el usuario no se entera. Pero le veo un problema, y es si directamente se envía la contraseña cifrada por JS desde el panel de login de phpbb. mira a ver eso, porque entonces tendrías que hacer que mandase también la contraseña sin ningún cifrado para poderla cifrar ya en PHP mediante el procedimiento del nuevo sistema.

Salu2.

1 respuesta
BLZKZ
BLZKZ #9 Abr '11

#8 phpbb3 cifra la contraseña por php, teniendo esos metodos me la suda directamente que luego el login lo haga de una manera u otra. Quiero decir, se como codifica la contraseña, mi panel de login no codifica por js, asi que saco "limpia" en primera instancia la password y luego la compruebo por php, por lo que lo que comentas es muy viable. Es posible que en un futuro sí la encripte por js y puede haber un problema pero bueno, ya se verá.

Edit: la tuya es la idea que más me convence xD

SikorZ
SikorZ #10 Abr '11 El Gran Carlemany

Para que quereis encriptar nada en JS? xD.. Teniendo PHP no lo entiendo =S con un simple md5() o sha etc.. :S

2 respuestas
BLZKZ
BLZKZ #11 Abr '11

#10 imagino que para que no se pueda inyectar nada :/

1 respuesta
SikorZ
SikorZ #12 Abr '11 El Gran Carlemany

#11 para eso tienes el trim o magic_quotes xD, ademas el sql injection no es nada facil, te lo digo yo, no es tan sencillo como se pinta en internet xD

guner
guner #13 Abr '11

#10 sitios como tuenti o feisbuc encriptan por JS la información de entrada que envían (también es cierto que son sitios más "delicados"). Supongo que por temas de sniffers en redes públicas etc.

1 respuesta
SikorZ
SikorZ #14 Abr '11 El Gran Carlemany

#13 Pero por mucho que ofusques la encriptacion en JS, eso sigue siendo desencriptable facilmente xD

Usuarios habituales

  • SikorZ
  • guner
  • BLZKZ
  • X-Crim

Tags