Ver Mensaje Individual
  #34 (permalink)  
Antiguo 02/02/2013, 20:19
David1992
 
Fecha de Ingreso: febrero-2013
Mensajes: 17
Antigüedad: 11 años, 10 meses
Puntos: 2
Respuesta: seguridad web

Cita:
Iniciado por dashtrash Ver Mensaje
No se encripta ningún id.
Se crea un hash que identifica al formulario.Los campos *clave* del formulario, por ejemplo, el id de usuario, *no se envía al cliente*, sino que se guardan en la sesión bajo esa clave creada con un hash.Si editas al usuario con id 10, ese id no se envia al html (ni sin encriptar, ni encriptado).Evitas tanto que se manipule el id por el lado del cliente, como ciertos tipos de ataques CSRF.
Uiss como estava en la pág 2 no lo habia leido, yo lo que hago es trabajar con encriptación unidireccional, asi aunque por lo que sea logren descargarse los ficheros del servidor no podran desencriptar la información y como las variables de sesion se pueden usar varias, en otra pongo el nombre de usuario para que el usuario lo vea y ya esta, ni siquiera yo puedo ver la info del usuario, asi me aseguro de que si hay robo de cuenta es por despieste del usuario y no por mi lvl de seguridad.