Foros del Web » Programando para Internet » PHP »

Seguridad en sesiones-cookies

Estas en el tema de Seguridad en sesiones-cookies en el foro de PHP en Foros del Web. Trabajo actualmente en un sitio que no requiere un gran nivel de seguridad, pero quisiera estar mejor preparado para cuando se me presente un sitio ...
  #1 (permalink)  
Antiguo 25/05/2003, 09:49
 
Fecha de Ingreso: agosto-2002
Ubicación: Aragón
Mensajes: 254
Antigüedad: 22 años, 3 meses
Puntos: 0
Seguridad en sesiones-cookies

Trabajo actualmente en un sitio que no requiere un gran nivel de seguridad, pero quisiera estar mejor preparado para cuando se me presente un sitio que req
  #2 (permalink)  
Antiguo 25/05/2003, 09:53
Avatar de camargo  
Fecha de Ingreso: abril-2002
Ubicación: Kerétaro, Méjiko
Mensajes: 1.045
Antigüedad: 22 años, 7 meses
Puntos: 2
Sesiones:

http://www.hotmex.com/webmasters/articulo.php?id=47

Cookies:

http://www.hotmex.com/webmasters/articulo.php?id=22

Salu2
__________________
http://www.chorcha.com
  #3 (permalink)  
Antiguo 25/05/2003, 10:17
 
Fecha de Ingreso: agosto-2002
Ubicación: Aragón
Mensajes: 254
Antigüedad: 22 años, 3 meses
Puntos: 0
Antetodo pedir disculpas pues no sé que pulsé para enviar el post sin haberlo completado.

Por otro lado, he leído los artículos que me mencionas Camargo, pero no es ese tipo de información la que quiero. Manuales-tutoriales sobre como funcionan las sesiones y cookies ya he leído varios y he trabajado diversas veces con ellas.

Más bien mi consulta trata sobre como hacer el uso de sesiones-cookies un poco más seguras para el reconocimiento automático de un usuario. He leído que con frecuencia se envía en la cookie el nombre del usuario y el password, pero no creo que esto sea muy seguro.

¿Es posible conseguir un nivel aceptable de seguridad sin tener que renunciar al reconocimiento automático?

Desgraciadamente, no he encontrado información de este tema en español. A ver si hay alguien que me pueda pasar un link a este respecto.

Gracias anticipadas,
Ababol.

Última edición por Ababol; 25/05/2003 a las 10:21
  #4 (permalink)  
Antiguo 25/05/2003, 13:08
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 10 meses
Puntos: 129
Si usas cookies .. el Password se envia encriptado en formato MD5() al cliente (Navegador en la cookie) y tu sistema ha de "contrastar" constantemente a ese usuario con tu BD o donde tengas los datos del mismo para ver si esos datos son correctos.

Si usas sesiones .. puedes establecer un simple "flag" que indique si está autentificado o no sin necesidad (con el ahorro de recursos de tu servidor) de estar contrastando esos datos constantemente con tu BD de usuarios ... Pues, la sesión se almacena en el servidor (siempre y cuando usese sesiones correctamente: no usar variables de sesión como globales, usar register_globals a OFF preferentemente .. no pasar el SID en enlaces externos a tu sitio .... etc ..). Pero, con sesiones pierdes la opción de "reconocimiento automático" ..

A pesar de eso, Puedes usar una combinación de ambos sistemas (cookies y sesiones) .. Donde guardes igualmente los datos de tu usuaro (usuario y password en MD5() en la cookie). AL entrar a tu sistema .. autentificas por la cookie o por tu formulario de login y de ahí continuas el sistema de autentificación de tus páginas usando sesiones (así por ejemplo funciona este foro si eliges la opción de "reconocimiento automático" ..). Este método "combinado" de sesiones y cookies es lo mas optimo en cuanto a rendimiento y seguridad.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #5 (permalink)  
Antiguo 25/05/2003, 16:15
 
Fecha de Ingreso: agosto-2002
Ubicación: Aragón
Mensajes: 254
Antigüedad: 22 años, 3 meses
Puntos: 0
Aplicar el método combinado de cookies y sesiones, enviando el usuario y password es lo más utilizado (basándome en lo que he leído sobre el tema), pero desconfío en que sea muy seguro.

Fijándome un poco en la red, me doy cuenta que dicho sistema solo es utilizado en páginas donde los datos que se guardan sobre el usuario no son muy "delicados", como por ejemplo: La membresía de este foro.

Mi inquietud es si hay una manera segura de aplicar este sistema de autenticación autómatica cuando los datos del usuario son de importancia extrema (cuentas bancarias, por ejemplo). Ya sé que en estos casos se utiliza SIEMPRE una validación manual sobre la identificación, pero en mi tozudez, no quiero dejar de intentar alguna solución para ofrecer más comodidad al usuario sin perder la seguridad de sus datos.

Tal vez sea una misión imposible, pero quizá alguien haya pensado alguna vez sobre esto y pueda aportar una idea de como llevarlo a cabo.

Saludos,
Ababol.
  #6 (permalink)  
Antiguo 25/05/2003, 17:59
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 10 meses
Puntos: 129
Lo mejor es Sesiones y SSL .. Donde el SSL te asegura la encriptación de datos de forma transparente entre tu cliente y el servidor a la hora de hacer el login o interactuar en general con el servidor ..

Lo sistemas realmente "seguros" no dejan opción de "recordar contraseña" via cookies (por lo menos que yo sepa).

Pero si la contraseña com ya te mencioné la guardas en una cookie usando MD5() no deberías tener problemas.

Por cierto, a una cookie nunca deberias enviar un dato de una cuenta bancaria (ni encriptada) .. con que le envies el password sobra, ademas que eso te servirá para hacer sistemas a tus usuarios que cambien el password de vez en cuando u obligandole a que se autentifique de vez en cuando (no dando tiempos de expiración largos a tus cookies ..)

No hay nada en la vida "seguro" .. pero hasta la fecha cookies con contraseñas en MD5() (encriptadas) da buenos resultados de seguridad.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.

Última edición por Cluster; 25/05/2003 a las 18:02
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:00.