Foros del Web » Programando para Internet » PHP »

Links en autentificator de Cluster

Estas en el tema de Links en autentificator de Cluster en el foro de PHP en Foros del Web. Buenas; Uso desde hace tiempo el Autentificator de Cluster, y tengo activa la utilidad para que no se puedan escribir direcciones ni variables directamente en ...
  #1 (permalink)  
Antiguo 28/07/2004, 04:32
Avatar de ferent  
Fecha de Ingreso: junio-2002
Ubicación: Madrid
Mensajes: 633
Antigüedad: 21 años, 9 meses
Puntos: 0
Información Links en autentificator de Cluster

Buenas;

Uso desde hace tiempo el Autentificator de Cluster, y tengo activa la utilidad para que no se puedan escribir direcciones ni variables directamente en la url.

Hasta ahí toco correcto, el problema está en que tengo un menú desplegable de salto para acceder a distintos puntos de la web, pero en lo que realizo el salto me aparece el mensaje de que no se puede acceder desde URL directas.

Este es el código del script que uso:

Código PHP:
<script language="javascript">
function 
MM_jumpMenu(selObj,restore){ //v3.0
  
eval(selObj.options[selObj.selectedIndex].value+"'");
  if (
restoreselObj.selectedIndex=0;
}
//-->
</script> 
y lo aplico así en el menú de salto:

Código PHP:
<select name="id_producto" class="texto" id="id_producto" onChange="MM_jumpMenu('parent',this,0)">
etc... 
Supongo que lo que me hará falta es cambiar algún parametro del menú o bien del propio Autentificator.

Muchas gracias
__________________
Culto es aquel que sabe donde encontrar lo que no sabe.
  #2 (permalink)  
Antiguo 28/07/2004, 06:03
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
Pero que error concreto obtienes?

El "cod.1 o el cod.2".

El primero se refiere al "HTTP_REFERER" (página referida), movimientos entre ventanas (window.open) y demás redireccionamientos pueden no dar ese valor y en consecuencia Autentificator "saltaría" en ese punto. La sulución sería quitar las referencias al código que usa "HTTP_REFERER" y dejar fijo $redir con el URL de tu formulario de login.

Para el segundo caso de error (cod.2) se refiere a sessiones, en concreto a la no propagación del SID. Depende com propagues el SID en tu servidor (por cookies o por el URL) puede que falle un redireccionamiento javascript donde PHP no incrustará el SID para propagarlo en el URL que finalmente redireccionas (en ese caso es necesario usar cookies para propagar el SID como de hecho debes estar usandolo: session.use_cookies =ON en tu php.ini .. por qué sino no te iría los redireccionamientos "header("location ..." que ya usa Autentificator.

Un saludo,
  #3 (permalink)  
Antiguo 28/07/2004, 06:52
Avatar de ferent  
Fecha de Ingreso: junio-2002
Ubicación: Madrid
Mensajes: 633
Antigüedad: 21 años, 9 meses
Puntos: 0
Me refiero al HTTP_REFERER, pero lo que no me gustaría es perder seguridad en la página, quiero que se siga sin poder poner URL directamente y que se tenga que acceder mediante los enlaces o formualrios.

¿Hay alguna forma de hacerlo?

A lo mejor lo será ver de un javascript que no envíe de esa forma...
__________________
Culto es aquel que sabe donde encontrar lo que no sabe.
  #4 (permalink)  
Antiguo 28/07/2004, 07:13
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
Si eliminas ese código que hace referencia al HTTP_REFERER del Autentificator (aut_verifica.inc.php) no vas a perder nada en seguridad.

Esa pre-validación basicamente permite salir rápido del script si se accede directamente una página .. pero igualmente (si lo quitas) se valida la existencia de las variables de sesión .. cosa que si llegan "directo" no estarán y en tu caso de moverte por ventanas/frames al propagar el SID en cookies no tendrás problemas .. la sesión existirá y continuará su uso.

(De hecho tengo previsto quitar o hacer opcional el uso del "HTTP_REFERER" como validación y dejarlo sólo opcionar para la funcionalidad que tiene Autentificator basado en dicha variable para "devolver los mensajes de error" al script/página que lo solicitó).

Un saludo,
  #5 (permalink)  
Antiguo 28/07/2004, 07:19
Avatar de ferent  
Fecha de Ingreso: junio-2002
Ubicación: Madrid
Mensajes: 633
Antigüedad: 21 años, 9 meses
Puntos: 0
Ok, entiendo que la con el SID haces obligatoria la entrada a la página por "la puerta principal", pero ¿no es cierto (y perdona si me equivoco) que una vez accedido al interior un usuario podría tocar y retocar a su gusto las variables que empreo en la url, con la falta de seguridad que ello supone?
__________________
Culto es aquel que sabe donde encontrar lo que no sabe.
  #6 (permalink)  
Antiguo 28/07/2004, 07:31
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
¿Como?... (explica mejor la situación)

Las variables de sesión no viajan por el URL .. están en el servidor siempre y de ahí no se mueven o son alterables por el URL.

Si tu aplicación maneja variables en el URL . ahí tendrás tu que ver como las filtras/validas .. y .. para eso ya tienes una sesión creada para montar ahí tus própias variables que use tu aplicación de forma segura.

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:20.