Foros del Web » Programando para Internet » PHP »

duda con vulnerabilidad al enviar datos

Estas en el tema de duda con vulnerabilidad al enviar datos en el foro de PHP en Foros del Web. hola maestros tengo una duda cuando yo envio datos por get o post ¿estos son vulnerables? , ¿osea pueden ser interceptados por alguien en la ...
  #1 (permalink)  
Antiguo 26/10/2004, 09:42
Avatar de mveraa  
Fecha de Ingreso: diciembre-2002
Ubicación: santiago-chilito
Mensajes: 1.895
Antigüedad: 15 años
Puntos: 2
duda con vulnerabilidad al enviar datos

hola maestros tengo una duda cuando yo envio datos por get o post ¿estos son vulnerables? , ¿osea pueden ser interceptados por alguien en la red .?


un saludo.
  #2 (permalink)  
Antiguo 26/10/2004, 09:50
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Pues si, todo puede ser "interceptado" .. Eso sí, .. lo puedes poner más dificil haciendo que esos datos viajen encriptados usando SSL (Secure Socket Layer) .. así todo lo que envies entre tu "cliente" y el servidor o viceversa irá encriptado (en 128 Bits máx.)

Un saludo,
  #3 (permalink)  
Antiguo 26/10/2004, 09:54
Ex Colaborador
 
Fecha de Ingreso: junio-2002
Mensajes: 9.091
Antigüedad: 15 años, 5 meses
Puntos: 16
Hola,

Si, como todos los datos que envias por HTTP sin usar conexion segura (SSL o HTTPS). Desde un spyware en tu equipo (el del navegador), tu ISP, un proxy, ... son dispositivos que pueden acceder a los datos que se transmiten.

Ademas, si es por get, pueden obtenerlos si sigues un link desde la pagina que tiene los parametros en la URL via referer (accesos al servidor web), o mediante codigo javascript que alguien malicioso ha puesto en la pagina destino.

Por norma, POST es mas seguro, porque es necesario tener acceso a la peticion. Con GET solo es necesario tener acceso a la URL.

Saludos.

PD: ¿Realmente tiene que ver solo con PHP? ASP, JSP, CGI, sufren los mismos problemas.
__________________
Josemi

Aprendiz de mucho, maestro de poco.
  #4 (permalink)  
Antiguo 26/10/2004, 09:59
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
PD: ¿Realmente tiene que ver solo con PHP? ASP, JSP, CGI, sufren los mismos problemas
Más bien sería tema para el foro de "Seguridad y Redes"? ..

Un saludo,

PD: lo movemos de foro?
  #5 (permalink)  
Antiguo 26/10/2004, 10:48
Avatar de mveraa  
Fecha de Ingreso: diciembre-2002
Ubicación: santiago-chilito
Mensajes: 1.895
Antigüedad: 15 años
Puntos: 2
muchas gracias por la orientacion
  #6 (permalink)  
Antiguo 26/10/2004, 10:52
Avatar de mveraa  
Fecha de Ingreso: diciembre-2002
Ubicación: santiago-chilito
Mensajes: 1.895
Antigüedad: 15 años
Puntos: 2
mm entonces , las personas como yo que no tienen servidor seguro ¿que puedemos hacer?

¿tal vez usando una encriptacion en javascript ? para que sea encriptada antes que sea enviada al servidor.


un saludo.
  #7 (permalink)  
Antiguo 26/10/2004, 11:45
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Pues .. en ese caso .. no calentarse más con el asunto, asumir el hecho y poner fin contratando SSL en tu servicio de hosting (+ un certificado para tu dominio). Creo que es lo más sano.

Las técnicas vía "javascript" donde el código completo de "encriptación" está en el cliente .. y pueden ser obtenidas directamente de la página que se "intercepto" .. no es seguro .. tan sólo "retrasaría" un rato descrifrar tus datos.

Un saludo,
  #8 (permalink)  
Antiguo 26/10/2004, 12:12
Ex Colaborador
 
Fecha de Ingreso: junio-2002
Mensajes: 9.091
Antigüedad: 15 años, 5 meses
Puntos: 16
Cita:
Iniciado por mveraa
mm entonces , las personas como yo que no tienen servidor seguro ¿que puedemos hacer?

¿tal vez usando una encriptacion en javascript ? para que sea encriptada antes que sea enviada al servidor.


un saludo.
Evaluar costes. ¿Cuanto de valiosa es la informacion? No es lo mismo la informacion que se puede obtener "crackeando" forosdelweb que la extranet de una empresa de hosting. No comprarias una caja fuerte para guardar 10euros, ¿verdad? Sin embargo, el numero de la tarjeta de credito si es muy valioso, en ese caso debes comprar servidor seguro.

Por la parte de PHP (o de la aplicacion web), solo puedes intentar que tu aplicacion sea segura, es decir, que soporte ataques directos (sin informacion del cliente). Incluso en el caso que pueda ser "crackeada", que el acceso a los datos este limitado. Luego tu servidor web debe tener un minimo de seguridad, por ejemplo, que otro usuario no pueda acceder a la informacion contenida en tu cuenta, ni ficheros, ni uploads, ni sessions, ni bases de datos deberian ser visibles desde otra cuenta que no sea la tuya. En algun alojamiento de pago yo puedo ver el nombre de las bases de datos de los demas, puede parecer un dato minusculo, pero ya no tengo que adivinar ese valor. Otros hostings compartidos suelen tener configurado el uso de directorios comunes.

Asi que tu como programador tienes que hacer que tu aplicacion no sea vulnerable. Luego tu alojamiento no debe ser vulnerable. Y finalmente la conexion no debe ser vulnerable (usando SSL). Tu evaluas tus requisitos de seguridad, y miras si requieres un servidor seguro, o te basta con hacer la aplicacion sin vulnaribilidades.

Y recuerda, el nivel de seguridad global es igual al eslabon mas debil. Si usas SSL y haces tu aplicacion sin agujeros de seguridad, todo es una mierda si "crackean" tu servidor 4 veces al dia.

Saludos.
__________________
Josemi

Aprendiz de mucho, maestro de poco.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 05:32.