Estoy implementando la seguridad en una aplicacion que desarrolle, utilizo sesiones (Apache-Session) combinado con una tabla de MySQL y aparte uso los metodos de encriptacion Digest::MD5 y Crypt::Blowfish. cada vez que envio un http:request con la sesion ID .
Mi ignorancia en este tema de seguridad me lleva hacer esta pregunta:
1. Si copio la sesion ID de la barra de direcciones del explorador , abro en mi PC otra ventana y pego la dirección en la barra del explorador, y puedo navegar dentro de mi aplicaron, se considera una "Agujero en la Seguridad" ??, obviamente esto solo se puede hacer dentro de la misma PC, porque el navegador es el que guarda la sesion, es correcto ?
2. Si la respuesta anterior es "Afirmativa", alguna sugerencia para no permitir hacer esto ??
De antemano, muchas gracias por sus comentarios,
Caribesoft
-
- Publicidad
Pregunta de Seguridad
3 mensajes
• Página 1 de 1
Pregunta de Seguridad
por caribesoft » 2006-09-04 18:24 @808
- caribesoft
- Perlero nuevo
- Mensajes: 73
- Registrado: 2006-05-09 22:01 @959
- Ubicación: Cancun
Publicidad
por kidd » 2006-09-04 19:15 @844
Hola:
El chiste de las sesiones es que te permite recordar a la computadora de tu usuario sin la necesidad de que esten haciendo logins en todo momento.
Ahora, el chiste de encriptar la sesión, es que el ID de la misma sea muy díficil de adivinar, para evitar que algun intruso haga hijack de alguna sesión.
Yo te recomiendo que no estés pasando la sesión en el http, mejor hazlo por medio de cookies, y ya como último recurso, en el caso de que el usuario no acepte cookies los hagas por el http request.
También te recomiendo que hagas que la sesión expire en el momento en que el usuario cierre el navegador, y no que duren varias horas o días. Así obligas a tus usuarios ha tener que hacer login de nuevo, dando mayor seguridad y evitando que alguien pueda hacer hijack de una sesión.
Saludos
El chiste de las sesiones es que te permite recordar a la computadora de tu usuario sin la necesidad de que esten haciendo logins en todo momento.
Ahora, el chiste de encriptar la sesión, es que el ID de la misma sea muy díficil de adivinar, para evitar que algun intruso haga hijack de alguna sesión.
Yo te recomiendo que no estés pasando la sesión en el http, mejor hazlo por medio de cookies, y ya como último recurso, en el caso de que el usuario no acepte cookies los hagas por el http request.
También te recomiendo que hagas que la sesión expire en el momento en que el usuario cierre el navegador, y no que duren varias horas o días. Así obligas a tus usuarios ha tener que hacer login de nuevo, dando mayor seguridad y evitando que alguien pueda hacer hijack de una sesión.
Saludos
-
kidd - Creador de Perl en Español
- Mensajes: 1166
- Registrado: 2003-10-15 16:52 @744
- Ubicación: México
por explorer » 2006-09-04 19:58 @873
Yo creo que no es un agujero de seguridad... de hecho, eso mismo lo hago muchas veces con las pestañas del Firefox.
JF^D Perl programming & Raku programming. Grupo en Telegram: https://t.me/Perl_ES
-
explorer - Administrador
- Mensajes: 14480
- Registrado: 2005-07-24 18:12 @800
- Ubicación: Valladolid, España
3 mensajes
• Página 1 de 1
¿Quién está conectado?
Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 5 invitados