01/09/2005, 04:27
| |||
| |||
| Seguridad en la aplicación? Hola amigos: Tengo una página web hecha con PHP y para el tema de la seguridad he usado sesiones PHP. Pero me han hablado de que ello no es suficiente, que necesito usar los protocolos SSL o HTTPS... ¿Alguien sabe si con las sesiones PHP me basta? Si necesito SSL, ¿alguien me puede decir cómo usarlo y crear certificados SSL? Muchas gracias |
|
01/09/2005, 05:42
| ||||
| ||||
| depende de lo que sea para un pago pasarela de pago etc si es recomendable usar ssl pero para un uso normal de clientes no.. el ssl tienes que solicitarlo y contratarlo a tu proveedor de hosting, pero que yo sepa no es gratuito.. explicanos un poko de que va la web para poder aconsejarte mejor Un Saludo  |
|
01/09/2005, 06:19
| |||
| |||
| Es una página web de una inmobilibaria (ficticia, no existe realmente, es para un proyecto). Pagos no hay, lo que sí hay es registro y login de usuarios, además los agentes inmobiliarios también deben hacer login. También la persona del administrador hace login para acceder a su sección. Un usuario registrado puede consultar los detalles de un inmueble y si le interesa, puede indicar al sistema que le interesa, para una futura visita, y también puede almacenar un inmueble como "favorito" para poder volver a consultar sus detalles en otro momento. Eso es, a grandes rasgos, lo de la página. |
|
01/09/2005, 06:23
| ||||
| ||||
| yo no veo la necesidad de usar ssl a simple vista es uan aplicacion que no tiene que conllevar un uso estricto de seguridad, yo loq ue si haria es para los logeos usar session en vez de cookie Un Saludo |
|
01/09/2005, 07:02
| |||
| |||
| Cita: como "estrictamente" no. Si sería mucho más seguro? Si, si y si... pero necesario? no.
Iniciado por kabe_jrr OK, las cookies no las he usado, lo tengo con sesiones. Entonces, si solo se usan logeos tipicos de nick y password, ¿no sería estrictamente necesario el uso de SSL? para un sitio como el tuyo, con solo usr & pwd bastaría; a menos que tambien vayas a querer hacer pagos online... Por ejemplo este foro, no usa ssl. Como mayor seguridad, podes hacer que al 3er intento, bloquee la cuenta y mande un mail al usuario registrado avisandole que alguien quiso entrar, y que siga algun paso para cambiarla o recuperarla si es q se la olvido. y menos si es un proyecto y te dicen que es pago (al menos yo no lo haria). |
|
01/09/2005, 07:24
| |||
| |||
| SSL te asegura la encriptación de datos que viajan entre cliente-servidor (tu navegaror <-> servidor) .. Por ende hasta ese dato de "contraseña/usuario" viajará "plano" sin encriptación si no usas SSL y podría ser fácilmente capturado el dato en una LAN por ejemplo con un simple "snnifer" (aplicación que captura datos que circulan por tu red .. por supuesto dependiendo de las características de cada red). Deberías comentar de que se trata tu proyecto .. sobre todo a nivel de si en proyecto está el usar un servicio de hosting .. o vas a usar tus própios servidores .. supongo que todo deberá colcar al final de un domino .com (o lo que sea) con validez en internet .. Por ende .. a tu SSL debes adquirir el certificado que va a asegurar a tus usuarios/visitas de tu sitio que quien emite esa seguridad SSL es quien dice ser. Para PHP y tu programación en general todo esto es "transparente" no lo controlas con PHP y haces nada más extra (salvo técnicamente colocar tu sitio en el directorio que quede bajo SSL para accesos por https:// ... según configures o te indique tu proveedor). Un saludo, Un saludo, |
|
01/09/2005, 12:16
| |||
| |||
| Vale, el tema es que no solo se guardan user & password de los usuarios que se registran, sino que también su teléfono (obligatorio a la hora del registro para un posible contacto con un agente inmobiliario, del que también se guardan sus datos personales) en la base de datos. Entonces, se podría considerar que se almacenan datos "sensibles"... Con lo cual creo que sí tendré que usar SSL, cuyo concepto tengo claro (gracias Cluster), pero... ¿cómo "activarlo", y cómo hacer certificados teniendo Apache bajo Windows, que es lo que uso? Es decir, sé "qué es" pero no sé "cómo hacerlo". He buscado información al respecto pero no encuentro nada... Ah, casi me olvido: la página web (mi proyecto) la tengo en mi propio ordenador y en principio aquí se quedará por el momento. |
|
02/09/2005, 10:29
| |||
| |||
| Para "activar" SSL en Apache debes instalar el módulo para Apache: mod_ssl, y luego OpenSSL o equivalente que proporcina todo el tema de creación/gestión de los certificados y la encriptación de datos(si mal no recuerdo). Si usas google por "mod_ssl windows" veras muchos tutoriales: http://tud.at/programm/apache-ssl-win32-howto.php3 Un saludo, |
|
05/09/2005, 03:09
| |||
| |||
| OK, he seguido el manual de esa página, y me parece que he creado bien los certificados, ahora el tema es que no sé cómo comprobar si lo he hecho bien o no. Si pongo https://mi-pagina me sale "página no encontrada". ¿Lo hice mal, entonces? |
|
05/09/2005, 04:38
| |||
| |||
| Bueno, he comprobado que si pongo https://localhost, parece estar todo correctamente (me sale si deseo instalar el certificado y el candadito abajo y tal). Pero el problema viene si pongo https://mi-pagina (tengo mi página alojada en mi propio ordenador, no en un servidor remoto tipo Lycos) ya me indica que "no se puede mostrar la página". ¿Cómo puedo hacer para que salga bien de esa segunda manera que os he contado? Muchas gracias. |
