duda con vulnerabilidad al enviar datos

hola maestros tengo una duda cuando yo envio datos por get o post ¿estos son vulnerables? , ¿osea pueden ser interceptados por alguien en la red .?


un saludo.

Pues si, todo puede ser "interceptado" .. Eso sí, .. lo puedes poner más dificil haciendo que esos datos viajen encriptados usando SSL (Secure Socket Layer) .. así todo lo que envies entre tu "cliente" y el servidor o viceversa irá encriptado (en 128 Bits máx.)

Un saludo,

Hola,

Si, como todos los datos que envias por HTTP sin usar conexion segura (SSL o HTTPS). Desde un spyware en tu equipo (el del navegador), tu ISP, un proxy, ... son dispositivos que pueden acceder a los datos que se transmiten.

Ademas, si es por get, pueden obtenerlos si sigues un link desde la pagina que tiene los parametros en la URL via referer (accesos al servidor web), o mediante codigo javascript que alguien malicioso ha puesto en la pagina destino.

Por norma, POST es mas seguro, porque es necesario tener acceso a la peticion. Con GET solo es necesario tener acceso a la URL.

Saludos.

PD: ¿Realmente tiene que ver solo con PHP? ASP, JSP, CGI, sufren los mismos problemas.

Más bien sería tema para el foro de "Seguridad y Redes"? ..

Un saludo,

PD: lo movemos de foro?

muchas gracias por la orientacion

mm entonces , las personas como yo que no tienen servidor seguro ¿que puedemos hacer?

¿tal vez usando una encriptacion en javascript ? para que sea encriptada antes que sea enviada al servidor.


un saludo.

Pues .. en ese caso .. no calentarse más con el asunto, asumir el hecho y poner fin contratando SSL en tu servicio de hosting (+ un certificado para tu dominio). Creo que es lo más sano.

Las técnicas vía "javascript" donde el código completo de "encriptación" está en el cliente .. y pueden ser obtenidas directamente de la página que se "intercepto" .. no es seguro .. tan sólo "retrasaría" un rato descrifrar tus datos.

Un saludo,

Evaluar costes. ¿Cuanto de valiosa es la informacion? No es lo mismo la informacion que se puede obtener "crackeando" forosdelweb que la extranet de una empresa de hosting. No comprarias una caja fuerte para guardar 10euros, ¿verdad? Sin embargo, el numero de la tarjeta de credito si es muy valioso, en ese caso debes comprar servidor seguro.

Por la parte de PHP (o de la aplicacion web), solo puedes intentar que tu aplicacion sea segura, es decir, que soporte ataques directos (sin informacion del cliente). Incluso en el caso que pueda ser "crackeada", que el acceso a los datos este limitado. Luego tu servidor web debe tener un minimo de seguridad, por ejemplo, que otro usuario no pueda acceder a la informacion contenida en tu cuenta, ni ficheros, ni uploads, ni sessions, ni bases de datos deberian ser visibles desde otra cuenta que no sea la tuya. En algun alojamiento de pago yo puedo ver el nombre de las bases de datos de los demas, puede parecer un dato minusculo, pero ya no tengo que adivinar ese valor. Otros hostings compartidos suelen tener configurado el uso de directorios comunes.

Asi que tu como programador tienes que hacer que tu aplicacion no sea vulnerable. Luego tu alojamiento no debe ser vulnerable. Y finalmente la conexion no debe ser vulnerable (usando SSL). Tu evaluas tus requisitos de seguridad, y miras si requieres un servidor seguro, o te basta con hacer la aplicacion sin vulnaribilidades.

Y recuerda, el nivel de seguridad global es igual al eslabon mas debil. Si usas SSL y haces tu aplicacion sin agujeros de seguridad, todo es una mierda si "crackean" tu servidor 4 veces al dia.

Saludos.