Foros del Web » Programando para Internet » PHP »

¿Es seguro usar Curl (PHP) con SSL?

 Estas en el tema de ¿Es seguro usar Curl (PHP) con SSL? en el foro de PHP en Foros del Web. Buenos días, Quiero usar la librería Curl de PHP para enviar datos a una aplicación en un servidor, algunos de estos datos son sensibles , ...
  #1 (permalink)  
Antiguo 03/08/2010, 04:14
 
Fecha de Ingreso: marzo-2004
Ubicación: Morelos, México
Mensajes: 75
Antigüedad: 20 años, 8 meses
Puntos: 0
Sonrisa ¿Es seguro usar Curl (PHP) con SSL?
Buenos días,

Quiero usar la librería Curl de PHP para enviar datos a una aplicación en un servidor, algunos de estos datos son sensibles, estoy usando un certificado SSL en la transacción (que descargué de la misma aplicación). Mi pregunta es:

¿Es seguro enviar datos con curl usando SSL?

No he trabajado mucho con curl y no sé si realmente usa el certificado SSL o si curl, simplemente lo usa para que no se rechace la transacción. Mi código es más o menos como sigue:

Código PHP:
$url "https://aplicacion.com/formulario.php";
$datos "nombre=hola&apellido=mundo&tarjeta_de_credito=1234123412341234";

$ch curl_init($url);
curl_setopt($chCURLOPT_POSTFIELDS$datos);
curl_setopt($chCURLOPT_RETURNTRANSFER1);
curl_setopt($chCURLOPT_FOLLOWLOCATION1);
curl_setopt($chCURLOPT_HEADER0);
curl_setopt($chCURLOPT_SSL_VERIFYPEER1);
curl_setopt($chCURLOPT_SSL_VERIFYHOST2);
curl_setopt($chCURLOPT_CAINFOgetcwd() . "/certificado/certificado_valido.crt");
curl_setopt($chCURLOPT_USERAGENT"Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.8.1.3) Gecko/20070309 Firefox/2.0.0.3");
echo curl_exec($ch);
curl_close($ch); 
Hasta ahora lo envío sin los datos sensibles y recibo la respuesta esperada (el mensaje de que esos campos son necesarios), si alguien que haya trabajado con este tema tiene una respuesta o un enlace para documentarse se lo agradezco.

Nuevamente, la pregunta al final es ¿Es seguro enviar datos con curl usando un certificado SSL?

  #2 (permalink)  
Antiguo 03/08/2010, 08:58
Avatar de pateketrueke
Modernizr
  
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 7 meses
Puntos: 2534
Respuesta: ¿Es seguro usar Curl (PHP) con SSL?
y la respuesta es: por favor lee el manual al respecto...

http://php.net/curl

enserio, supongo que si lees un poco los apartados de seguridad en cURL seguro algo debe decir... aunque bueno, la verdad es que esto ni siquiera debería generar dudas...

¿porque implementar SSL en cURL si no fuera seguro de antemano?

si fuera inseguro no existiría dicha opción, y si la ofrecen es por algo.... ¿acaso también careces de sentido común?

es como la pregunta: ¿es mas seguro usar HTTPS que HTTP?
R: bueno, la S significa seguro....

que eso no da seguridad, pues todo depende de que tan bien desarrollemos nuestra comunicación pero... la S no indica que nuestra aplicación puede ser aún mas segura, no de facto, pero es mucho mas posible alcanzar una mayor seguridad gracias a lo mismo...

y finalmente... lo del certificado es una prueba mas de lo mismo, si el sistema el cual te lo exige no funciona sin el... ¿no sabes si realmente usar cURL o el certificado?

pues igual de obvio, omite el certificado y rechazará tu petición...!!

¿eso es seguridad? ¿que piensas tu?

¿es seguro enviar datos usando un certificado SSL?
R: reflexiona y comenta tu resolución... (:
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 03/08/2010, 21:33
 
Fecha de Ingreso: marzo-2004
Ubicación: Morelos, México
Mensajes: 75
Antigüedad: 20 años, 8 meses
Puntos: 0
Respuesta: ¿Es seguro usar Curl (PHP) con SSL?
pateketrueke, te agradezco tu respuesta, pese a tu intensión de demeritar la pregunta. Con todo respeto, creo que tu eres quien no entiende la pregunta.

Yo sé que SSL te ofrece una capa de seguridad bastante confiable, es obvio que la opción existe en curl por algo (he leído no solo la documentación en php.net sino también otros artículos de seguridad en curl ). Como mencionó en mi pregunta, no sé si curl realmente usa el certificado para encriptar los datos o solo lo hace para que no se rechace la transacción.

Hago la pregunta porque quiero estar seguro de que los datos siguen un protocolo seguro y yo creo que más de uno en este foro lo ha usado y lo puede corroborar o desmentir.
Última edición por kurt_yorke84; 04/08/2010 a las 06:01
  #4 (permalink)  
Antiguo 04/08/2010, 08:30
Avatar de GatorV
$this->role('moderador');
  
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Respuesta: ¿Es seguro usar Curl (PHP) con SSL?
Pero es obvia tu pregunta, si cURL no encriptara los datos, el cliente no los podría decodificar, recuerda que SSL aparte de ser una tecnología, es un estandar también y ambos puntos de la transacción se deben de poder "hablar" entre ellos, si cURL no los encriptara, entonces el otro punto no podría leerlos porque pensaria que ya estan encriptados y tu transacción fallaría.

Es por eso lo que te indico Pateketrueke, al poner SSL es que el sistema soporta SSL, no que "simula soportar SSL" si no lo hiciera entonces no funcionaría bajo ningún soporte.

Saludos.
  #5 (permalink)  
Antiguo 13/08/2010, 20:45
 
Fecha de Ingreso: marzo-2004
Ubicación: Morelos, México
Mensajes: 75
Antigüedad: 20 años, 8 meses
Puntos: 0
Respuesta: ¿Es seguro usar Curl (PHP) con SSL?
GatorV, lo que me generaba duda, es que se conectaba sin problema a la aplicación con y sin certificado SSL. Como sea, gracias a ambos por la respuesta, al final entendí un poco mejor el funcionamiento gracias al tutorial del autor:

http://curl.haxx.se/libcurl/c/libcurl-tutorial.html

Etiquetas: curl, seguridad, ssl
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 12:11.