Foros del Web » Creando para Internet » Diseño web »

Seguridad de un Login. Que piensan?

Estas en el tema de Seguridad de un Login. Que piensan? en el foro de Diseño web en Foros del Web. Buenas... se me ocurrio algo para verificar un login y demas, pero no se que tan seguro puede ser, por eso dejo a los ojos ...
  #1 (permalink)  
Antiguo 20/12/2010, 07:55
Avatar de loncho_rojas
Colaborador
 
Fecha de Ingreso: octubre-2008
Ubicación: En el mejor lugar del mundo
Mensajes: 2.704
Antigüedad: 16 años, 2 meses
Puntos: 175
Seguridad de un Login. Que piensan?

Buenas... se me ocurrio algo para verificar un login y demas, pero no se que tan seguro puede ser, por eso dejo a los ojos criticos y opiniones al respecto.

Al hacer un login, verifico a un usuario y su clave.. hasta aca sin problemas (en realidad no hay problema)

Luego, si valido al usuario, que entre a otro form de verificacion, en donde, si ha ingresado con exito, debe introducir un numero clave que esta guardado en la BD en otra tabla, puede ser un DNI u otro dato, si es correcto.. solo ahi entra al ADministrador o CMS de la pagina..

COmo son 6 a 10 administradores distintos, se me ocurrió esto para evitar ataques y demas.. es decir, si pasa la validacion contra SQL Injection, que no pueda pasar salvo que conozca la clave de otra tabla!

Que piensan al respecto, es seguro?

Espero comentarios... gracias

PD: NO USO CAPTCHA PORQUE AUN ASI ES VULNERABLE
__________________
Ayudo con lo que puedo en el foro, y solo en el foro.. NO MENSAJES PRIVADOS.. NO EMAILS NI SKYPE u OTROS.

Antes de hacer un TOPICO piensa si puedes hallarlo en Google o en el Buscador del Foro...
  #2 (permalink)  
Antiguo 21/12/2010, 07:40
Avatar de eft0  
Fecha de Ingreso: junio-2003
Ubicación: Santiago - Chile
Mensajes: 635
Antigüedad: 21 años, 6 meses
Puntos: 9
Respuesta: Seguridad de un Login. Que piensan?

Sin tantas vueltas amigo mio:

http://php.net/manual/es/security.da...-injection.php
__________________
eft0's stuff! - http://estebanfernandez.net
  #3 (permalink)  
Antiguo 21/12/2010, 07:43
(Desactivado)
 
Fecha de Ingreso: noviembre-2010
Ubicación: Malaga
Mensajes: 225
Antigüedad: 14 años, 1 mes
Puntos: 0
Respuesta: Seguridad de un Login. Que piensan?

-Tienes que usar un filtro http , investiga.
  #4 (permalink)  
Antiguo 21/12/2010, 09:04
Avatar de loncho_rojas
Colaborador
 
Fecha de Ingreso: octubre-2008
Ubicación: En el mejor lugar del mundo
Mensajes: 2.704
Antigüedad: 16 años, 2 meses
Puntos: 175
Respuesta: Seguridad de un Login. Que piensan?

Gracias, gracias por responder... bien.

Mi pregunta no fue ¿Como hacer un filtro antiInyeccion?, no pido codigos..

Solo queria saber que les parece el metodo de validacion que propuse, y si creen que podria ser efectivo, o le ven alguna falencia... sobre eso es lo que quisiera leer comentarios, sobre la idea, sobre errores conceptuales, o huecos, etc...

Espero comentarios
__________________
Ayudo con lo que puedo en el foro, y solo en el foro.. NO MENSAJES PRIVADOS.. NO EMAILS NI SKYPE u OTROS.

Antes de hacer un TOPICO piensa si puedes hallarlo en Google o en el Buscador del Foro...
  #5 (permalink)  
Antiguo 21/12/2010, 09:23
 
Fecha de Ingreso: diciembre-2010
Mensajes: 788
Antigüedad: 14 años
Puntos: 51
Respuesta: Seguridad de un Login. Que piensan?

Yo creo que no habría diferencias si en el primer form le preguntas todos los datos. Si tenes bien armado el sistema para que no entren por sql injection, no vas a tener problemas, a no ser que sea un "robot". Te recomiendo usar recaptcha, te va a evitar muchos dolores de cabeza...
  #6 (permalink)  
Antiguo 21/12/2010, 09:33
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Tema movido desde PHP a Web general
  #7 (permalink)  
Antiguo 21/12/2010, 12:58
Avatar de loncho_rojas
Colaborador
 
Fecha de Ingreso: octubre-2008
Ubicación: En el mejor lugar del mundo
Mensajes: 2.704
Antigüedad: 16 años, 2 meses
Puntos: 175
Respuesta: Seguridad de un Login. Que piensan?

walterdevel... el captcha es solo para robots, mi idea es que solo los administradores reales puedan ingresar al CMS, por ello, cada uno tiene un codigo asignado, mas alla de su login comun.. dicho codigo es rotativo y unico, de tal manera a que, si por algun motivo, alguien llega a pasar el form de validacion, deba, ingresar ese codigo que lo redireccionará al CMS que le corresponde, con privilegios propios de ese usuario.

Ademas, uso una tabla totalmente distinta para los codigos, de tal manera a que si por algun motivo llegaren a obtener los datos del usuario o de las tablas de usuarios, les resulte mas apañoso cambiar, obtener y demas el codigo...

Dicho codigo es solo para humanos, no para robots, pues no me afecta para nada el spam, o al menos no me preocupa.

En sintesis, segun YO, no es lo mismo prevenir sql o xss inyection, o spam, a evitar que personas no autorizadas ingresen, ya sea porque han obtenido el pass y el user de un administrador... esa es la intencion

phpfan
me intriga eso de filtro HTTP... sobre todo porque no se si es aplicable a PHP.. me suena a un lenguaje de programacion tipo C, C++, C#, Java
__________________
Ayudo con lo que puedo en el foro, y solo en el foro.. NO MENSAJES PRIVADOS.. NO EMAILS NI SKYPE u OTROS.

Antes de hacer un TOPICO piensa si puedes hallarlo en Google o en el Buscador del Foro...

Etiquetas: login, seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:31.