Ver Mensaje Individual
  #358 (permalink)  
Antiguo 12/07/2006, 06:38
Cluster
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 11 meses
Puntos: 129
Cita:
Iniciado por oskarL
Hola Cluster, le he estado echando un vistazo al "Autentificator", y me parece que esta genial! Felicidades.

Solo queria comentarte una cosa, analizando el codigo me he encontrado con esta variable global: $_SERVER['HTTP_REFERER'], y como no sabia de que se trataba me he estado informando un poco mas.

Al parecer el uso de esta variable puede conllevar problemas de seguridad, tal y como explican en esta pagina, ni siquiera en php.net recomiendan su uso:

Dime cluster, ¿conocias estos datos? ¿crees que su uso puede traer problemas o no? ¿de que otra manera crees que se podria hacer lo que hace la parte del codigo en que usas esa variable?

1Saludo y gracias!
Si, conocía de esos problemas sobre HTTP_REFERER, (no lo concí directamente en el momento del desarrollo del script en sí .. ya hace unos años pero si que me dí cuenta posteriormente).

El detalle está que no lo uso con fines de validación .. me explico, las sesiones y su validación siempre prevalecen sobre la validación de la página referida que hago.

La obtención de la página referida vía HTTP_REFERER sólo la uso con fines de devolver al formulario de logín que el usuairo pueda haber creado ante un problema de validación del login (Usuario/contraseña), y principalmente por motivos de "usabilidad?" .. es decir, para no "amarrar" a un sólo formulario de lógin por sitio sino que puedieran eventualmente usar diferentes apuntanto al mismo script de validación.

De hecho .. en este mismo mensaje (ya sé que lleva ya muchas páginas y mensajes) he visto problemas de otro ambito referentes al uso de dicha variables de servidor HTTP_REFERER, cuando la gente lo usa en combinación de ventanas abiertas por javascript .. dicho dato no es entregado por el navegador al servidor y por ende falla esa porción del código. En otros casos, configuraciones de ciertos proxys y/o antivirus (con esas funcionalidades) no entregan o adulteran el valor de "HTTP_REFERER" ...

La solución para estos casos ya la he dado várias veces .. aunque asumo que debería de una vez por todas modificar el script original y quitar esa porción del código dejando fija a un valor del URL donde tengas el formulario de "login" en la variable (si mal no recuerdo) $redir.

Sobre más problemas en sí de seguridad de "HTTP_REFERER" no he tenido oportunidad de probarlo (en general). Si tienes oportunidad de probarlo (con más ejemplos y si corresponde aplicado a PHP estaría bueno hacer ese analisis .. no por mi aplicación en sí .. sino por todas las que lo usan: sistemas de estadisticas de visitas .. etc ..

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.