Foros del Web » Programando para Internet » PHP »

Tokens y formularios

Estas en el tema de Tokens y formularios en el foro de PHP en Foros del Web. Hola! Tengo una duda de conceptos. Yo quiero asegurarme que los formularios que me envia un cliente no se puedan falsificar por terceros. Para ello ...
  #1 (permalink)  
Antiguo 14/07/2011, 15:31
 
Fecha de Ingreso: julio-2011
Mensajes: 2
Antigüedad: 13 años, 5 meses
Puntos: 0
Tokens y formularios

Hola! Tengo una duda de conceptos. Yo quiero asegurarme que los formularios que me envia un cliente no se puedan falsificar por terceros. Para ello en el formulario creo una variable hidden con el valor de su identificar de session encriptado:


<form method="post" enctype="multipart/form-data">
<input type="hidden" name="token" value="<?=hash("md5", session_id());?>"/>
-
-
</form>


despues, una vez que recibo el formulario compruebo que realmente sea de ese usuario, para ello hago lo siguiente:


class tokenClass
{
public static function checkToken($token)
{
if($token==hash("md5",session_id()))
return TRUE;
else
return FALSE;
}
}


if(!tokenClass::checkToken($_POST['token'])){
-
-
-
}


Ahora mi pregunta es, si yo en el formulario le envio el token y al recibirlo compruebo que sea autentico, una tercera persona podria interceptar el mensaje que yo le envio(del lado del servidor) y crear un formulario falso poniendo como tokken el mismo que ha cogido?

Mi duda es basicamente de conceptos y me estoy liando bastante. Si alguien me pudiera explicar exactamente porque es seguro o de que manera se deberia hacer se lo agradeceria, ya que ahora por mucho que le envie un token no veo donde esta la seguridad ya que me lo podrian reenviar.


Muchas gracias,
Saludos
  #2 (permalink)  
Antiguo 14/07/2011, 15:34
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Tokens y formularios

Si el token todo el tiempo es exactamente el mismo claro que vas a tener problemas.

El concepto lo tienes mas o menos claro, sin embargo no lo haces bien.

Te sugiero investigar el término CSRF, eso es lo que buscas.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 14/07/2011, 15:35
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Respuesta: Tokens y formularios

La ventaja que te da es que es forzoso que visiten primero tu sitio para poder generar la sesion y el token, con lo cual limitas mucho los ataques, lo mejor es que si no quieres que sean fraudulentos limites esos formularios ausuarios registrados.

Saludos.
  #4 (permalink)  
Antiguo 16/07/2011, 08:55
 
Fecha de Ingreso: julio-2011
Mensajes: 2
Antigüedad: 13 años, 5 meses
Puntos: 0
Respuesta: Tokens y formularios

Ah oks! ahora lo tengo mas claro, me estaba liando con lo que creia que hacia y lo que hace realmente.

Gracias por contestar,
un saludo

Etiquetas: token, formulario
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 03:27.