Foros del Web » Programando para Internet » PHP »

Modificación de datos: seguridad en el proceso

 Estas en el tema de Modificación de datos: seguridad en el proceso en el foro de PHP en Foros del Web. Hola. Quiero implementar el típico sistema de confirmación de cambios enviando un e-mail a la casilla de correo del usuario. Particularmente, cuando modifica su e-mail ...
  #1 (permalink)  
Antiguo 07/01/2009, 19:44
 
Fecha de Ingreso: marzo-2005
Mensajes: 1.418
Antigüedad: 19 años
Puntos: 9
Modificación de datos: seguridad en el proceso
Hola. Quiero implementar el típico sistema de confirmación de cambios enviando un e-mail a la casilla de correo del usuario.
Particularmente, cuando modifica su e-mail (semejante al que utilizan en este foro). Se me ocurre una forma, pero no sé si será segura. Ustedes me dirán. Cuando el usuario modifica su dirección de correo, registro un código de modificación asociado al usuario, modifico su correo y dejo su cuenta en estado pendiente de activación. A su correo nuevo le envio un e-mail con un link a una página, pasando como parámetro el código de modificación y el id del usuario. En esta página entonces verifico que el código de modificación que se está recibiendo corresponde con el id del usuario correspondiente y entonces activo la cuenta nuevamente.
¿Como lo ven? ¿Que otras cosas podría agregarle para hacerlo más seguro?.
__________________
Add, never Remove
  #2 (permalink)  
Antiguo 07/01/2009, 20:08
Avatar de Ronruby  
Fecha de Ingreso: julio-2008
Ubicación: 18°30'N, 69°59'W
Mensajes: 4.879
Antigüedad: 15 años, 9 meses
Puntos: 416
Respuesta: Modificación de datos: seguridad en el proceso
O_O Yo lo veo perfecto!
Pensaste en todo.

Asi es como yo lo hago para verificar las cuentas.
  #3 (permalink)  
Antiguo 07/01/2009, 22:27
 
Fecha de Ingreso: marzo-2005
Mensajes: 1.418
Antigüedad: 19 años
Puntos: 9
Respuesta: Modificación de datos: seguridad en el proceso
Bueno, entonces voy por el camino correcto. Aunque esa información me parece algo crítica como para dejar ser manipulada por el usuario. Si bien es poco probable que pase, pero que pasaría si un usuario malévolo, con unas cuantas horas libres o con algun robot decide probar numero por numero hasta encontrar que alguna pareja usuarioid - codigo modificacion concuerde. Se re-activaría una cuenta que por el usuario dueño de la cuenta todavía no ha sido activada, y si bien lo más probable es que la active en un par de días como mucho, creo que representa un hueco, que si bien no compromete al sistema en general, si compromete a los datos de un usuario en particular.
Por eso es que todavía no me cierra del todo esta opción. Voy a seguir viendo que puedo hacer para modificar esto y cualquier idea que surja la comento por aquí.
Saludos.
__________________
Add, never Remove
  #4 (permalink)  
Antiguo 07/01/2009, 22:59
Avatar de Ronruby  
Fecha de Ingreso: julio-2008
Ubicación: 18°30'N, 69°59'W
Mensajes: 4.879
Antigüedad: 15 años, 9 meses
Puntos: 416
Respuesta: Modificación de datos: seguridad en el proceso
Solo tienes que crear algun tipo de token, por ejemplo con uniq_id():
http://www.php.net/manual/es/function.uniqid.php

Si creas un token alfanumerico usando md5, no creo que nadie valla a adivinar el codigo de modificacion/activacion.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 09:50.