• Publicidad

Pregunta de Seguridad

¿Ya sabes lo que es una referencia? Has progresado, el nível básico es cosa del pasado y ahora estás listo para el siguiente nivel.

Pregunta de Seguridad

Notapor caribesoft » 2006-09-04 18:24 @808

Estoy implementando la seguridad en una aplicacion que desarrolle, utilizo sesiones (Apache-Session) combinado con una tabla de MySQL y aparte uso los metodos de encriptacion Digest::MD5 y Crypt::Blowfish. cada vez que envio un http:request con la sesion ID .

Mi ignorancia en este tema de seguridad me lleva hacer esta pregunta:

1. Si copio la sesion ID de la barra de direcciones del explorador , abro en mi PC otra ventana y pego la dirección en la barra del explorador, y puedo navegar dentro de mi aplicaron, se considera una "Agujero en la Seguridad" ??, obviamente esto solo se puede hacer dentro de la misma PC, porque el navegador es el que guarda la sesion, es correcto ?

2. Si la respuesta anterior es "Afirmativa", alguna sugerencia para no permitir hacer esto ??

De antemano, muchas gracias por sus comentarios,

Caribesoft
caribesoft
Perlero nuevo
Perlero nuevo
 
Mensajes: 73
Registrado: 2006-05-09 22:01 @959
Ubicación: Cancun

Publicidad

Notapor kidd » 2006-09-04 19:15 @844

Hola:

El chiste de las sesiones es que te permite recordar a la computadora de tu usuario sin la necesidad de que esten haciendo logins en todo momento.

Ahora, el chiste de encriptar la sesión, es que el ID de la misma sea muy díficil de adivinar, para evitar que algun intruso haga hijack de alguna sesión.

Yo te recomiendo que no estés pasando la sesión en el http, mejor hazlo por medio de cookies, y ya como último recurso, en el caso de que el usuario no acepte cookies los hagas por el http request.

También te recomiendo que hagas que la sesión expire en el momento en que el usuario cierre el navegador, y no que duren varias horas o días. Así obligas a tus usuarios ha tener que hacer login de nuevo, dando mayor seguridad y evitando que alguien pueda hacer hijack de una sesión.


Saludos
Uriel Lizama Perl programmer fundador de Perl en Español
Perl Programming Language
Avatar de Usuario
kidd
Creador de Perl en Español
Creador de Perl en Español
 
Mensajes: 1166
Registrado: 2003-10-15 16:52 @744
Ubicación: México

Notapor explorer » 2006-09-04 19:58 @873

Yo creo que no es un agujero de seguridad... de hecho, eso mismo lo hago muchas veces con las pestañas del Firefox.
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
Avatar de Usuario
explorer
Administrador
Administrador
 
Mensajes: 14486
Registrado: 2005-07-24 18:12 @800
Ubicación: Valladolid, España


Volver a Intermedio

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados

cron