06/02/2009, 16:19
|
| | | Fecha de Ingreso: marzo-2008 Ubicación: Bogota
Mensajes: 858
Antigüedad: 16 años, 8 meses Puntos: 15 | |
Respuesta: Ocultar Parametros enviados por la URL (metodo GET) No recomiendo esa 'funcionencriptar' para todo tipo de datos...
Las cosas que probablemente si debes encriptar es el id del usuario, pero esto se hace en php - se envia por url - y se recuperar encriptado... Nada de ajax. De lo contrario utiliza post. Un algoritmo comun es B64, o los tipo semilla son mas seguros-hay mucho de esto Internet. Estos encriptan basados en una cadena de texto que tu suministras-así puedes estar cambiando fácilmente esta cadena de texto y la encriptación puede ir variando con facilidad).
Si aun te sientes mas paranoico:
También debes activar en el servidor apache la configuración:
1. Safemode:true o 1, esto evita una inclusión remota.
2. Utiliza sistemas de seguridad por oscuridad, como poner un index.html en todas tus carpetas completamente en blanco.
3. Crea un archivo de configuración .htaccess que limite el acceso a carpetas o crea un sistema de logín de directorios(Puede ayudar un poco).
4. Otra cosa que puedes encriptar los datos almacenados en las cookies que residen en el PC del cliente.
5. Establece una conexión tipo SSL, sobre todo si es un sistema bancario no puede faltar, o un sistema de mercado electrónico.
6. Validar el ingreso de caracteres intrusivos como instrucciones SQL, comillas...(Todo lo relacionado ha inyección por SQL).
7. Verifica los archivos que se suben a través de tu sistema, o limitalo, almacena la dirección ip desde donde ingresa y una vez loggeado siempre verifica esta IP en contra a la BD.
8. Sesiones aun mas seguras, no solo utiliza el sistema de sesión del servidor, ni las cookies, ni no que ademas agrega una tabla a tu base de datos donde puedas estar confirmado la identidad de este usuario a cada momento.
9. Utiliza mod_rewrite, esto puede ayudar a ocultar el verdadero nombre de un archivo que cumple una función lógica en tu servidor, y puedes ocultar igualmente las extensiones de los archivos.
10. Si es un foro, un sistema de correo, blog... o cualquier lugar donde el usuario puede alterar el contenido. Bloque el uso de script internos... Como por ejemplo:
Un <textarea><script src="miarchivo.jpg"></script></textarea>
donde mi archivo.jpg, puede resultar ser un script... que luego adicione(Cosas por el estilo... |