Ver Mensaje Individual
  #2 (permalink)  
Antiguo 16/09/2004, 22:59
Cluster
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
Cita:
- Es necesario instalar las páginas de tramitación en un site secure https?
Altamente recomendable que tus páginas estén bajo SSL. Tanto por la seguridad de tus própios datos (los del usuario que envia a tus servidores) como por temas de "confianza" de tu própio sitio (al ser seguro).

Cita:
- Si el usuario debe introducir 2 contraseñas es más seguro que con 1?
Muchos sistemas/aplicaciones (tipo bancos por ejemplo donde se hacen trasacciones de fondos en línea) .. en puntos críticos, pese ya estar validado tu sesión por una contraseña que se indicó para ingresar al sitio .. se vuelve a preguntar la contraseña nuevamente como medida extra de seguridad (ejemplo: tu usuario dejó abierto su navegador con su sitio ahí .. llega otra persona y hace la "maldad" en ese momento, caso extremo .. pero por poder suceder .. podría suceder).

Cita:
- Llega con comprobar si el usuario y la contraseña coinciden en la base de datos e iniciar una sesión poniendo $login=1 y comparar en todas las paginas de tramitación ese valor?
Bueno .. que sea "login=1" (un flag, bandera) o te bases en la existencia de alguna variable de sesión que guardes; ejemplos: el ID de tu usuario, su nick/nombre/identificativo depende de tu aplicación. Es más útil guardar el ID de tu usuario como para usarlo en registros de acciones (log's, creación de registros en tus BD.. etc) que no tener un "login=1" como simple flag. En este caso .. te basas en la existencia de dicha variable de sesión (ese tal $_SESSION['id_usuario'] ...) mas que en su valor (salvo algún tipo de validación extra según tu "work flow" de tu aplicación (niveles de seguridad/permisos que otorgues en tu aplicación).

Cita:
- Como me podrían hackear los datos de los usuarios?
Bueno .. normalmente esos "hackeos" de una sesión se ocasionan por falta de configuración del tema sesiones o mal uso de estas (por ejemplo usando las variables de sesión como gloables es altamente peligroso, en su lugar usar: $_SESSION (los arrays superglobales). Tienes más detalles al respecto en este excelente documento de lectura recomendada:

http://www.acros.si/papers/session_fixation.pdf

Te vendría bien leer tambien sobre problemas con:
SQL injection y Cross-site scripting (usa google ... veras mucha documentación al respecto).

Un saludo,