Foros del Web » Programando para Internet » PHP »

en que momento los datos son vulnerables?

Estas en el tema de en que momento los datos son vulnerables? en el foro de PHP en Foros del Web. Hola, que tal? Estoy tratando de hacer que los datos que mi pagina web maneja sean seguros en todo momento. Para eso, me gustaria saber ...
  #1 (permalink)  
Antiguo 06/10/2011, 09:40
Avatar de morfasto  
Fecha de Ingreso: julio-2011
Ubicación: Lima
Mensajes: 291
Antigüedad: 12 años, 8 meses
Puntos: 8
en que momento los datos son vulnerables?

Hola, que tal?

Estoy tratando de hacer que los datos que mi pagina web maneja sean seguros en todo momento.

Para eso, me gustaria saber cual es el momento en el que los datos son vulnerables.

Mi pagina tiene una base de datos en donde se guarda toda la informacion de los clientes, sus fotos, videos, etc. Esa informacion es importante para el usuario, por ende debe de estar protegida.

Que metodos son recomendables para encriptar/proteger la informacion?

Muchas gracias!
  #2 (permalink)  
Antiguo 06/10/2011, 10:02
Avatar de ricardo_tu  
Fecha de Ingreso: noviembre-2010
Ubicación: Mas aca del mas alla
Mensajes: 222
Antigüedad: 13 años, 4 meses
Puntos: 32
Respuesta: en que momento los datos son vulnerables?

Excelente pregunta... me sumo, tengo las mismas dudas.
__________________
La ciencia al poder. Pazciencia ya viene
  #3 (permalink)  
Antiguo 06/10/2011, 10:26
 
Fecha de Ingreso: enero-2011
Mensajes: 35
Antigüedad: 13 años, 2 meses
Puntos: 0
Respuesta: en que momento los datos son vulnerables?

En el momento en que se hacen los querys, todos los navegadores tienen herramientas de desarrollo, donde pueden ver tus querys, si no los haz realizado de forma correcta. Pero más allá de eso, no creo que suceda nada, no se pueden modificar y/o guardar.
  #4 (permalink)  
Antiguo 06/10/2011, 10:46
Avatar de SetheR  
Fecha de Ingreso: enero-2009
Mensajes: 265
Antigüedad: 15 años, 2 meses
Puntos: 44
Respuesta: en que momento los datos son vulnerables?

Una aplicación web puede ser vulnerable por varios sitios. A saber. La premisa es que nunca te fies de los usuarios:

Mejoras en la seguridad:

-Siempre, SIEMPRE, validar los datos de entrada de los formularios, para que estén en rangos de funcionamineto correctos.
-Encriptación de las contraseñas con algoritmos de hash y salteado.
-Protección contra SQLInjection en las querys a la DB.
-Vigilancia de las cookies.
-Defensa contra ataques XSS
-Control contra ataques de denegación de servicio: (DDoS
-Revisión de varias directivas del php.ini (como pueden ser Register Globals, o Magic Qoutes, entre otras).

Aquí tienes un enlace interesante:
http://es.php.net/manual/en/security.php

También los datos son vulnerables cuando viajan. La red es un conjunto de nodos por los que pasan los paquetes hasta su destino. Cualquier usuario podría estar captando los paquetes en un nodo cualquiera y sacando información que quizá sea comprometida. Si éste es el caso que te preocupa, una posible solución es usar SSL (aunque ya no depende de PHP esto último).

Por norma general, utilizar un framework te abstraerá un poco de estas tareas y algunas te las facilitará enormemente.

Un saludo
  #5 (permalink)  
Antiguo 06/10/2011, 11:12
Avatar de morfasto  
Fecha de Ingreso: julio-2011
Ubicación: Lima
Mensajes: 291
Antigüedad: 12 años, 8 meses
Puntos: 8
Respuesta: en que momento los datos son vulnerables?

Otra consulta, si es que yo encripto la contraseña antes de ser enviada, como es que la comparo con la contraseña de la base de datos?, desencriptandola?, hasta lo que tengo entendido, si encripto con hash (md5) no podre desencriptarlo...
  #6 (permalink)  
Antiguo 06/10/2011, 11:16
Avatar de andresdzphp
Colaborador
 
Fecha de Ingreso: julio-2011
Ubicación: $this->Colombia;
Mensajes: 2.749
Antigüedad: 12 años, 8 meses
Puntos: 793
Respuesta: en que momento los datos son vulnerables?

Una web es vulnerable desde que se abre al público, puedes hacerle la vida más dificil a personas que te quieren hacer daño, pero 100% no lo creo.

Tienes una contraseña en MD5 de la base de datos, la comparas con md5($password). Se pueden comparar tranquilamente.

if ($passbasededatos == md5($password) { ...

Saludos.
__________________
Si sabemos como leer e interpretar el manual será mucho más fácil aprender PHP. En lugar de confiar en ejemplos o copiar y pegar - PHP
  #7 (permalink)  
Antiguo 06/10/2011, 11:17
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 17 años, 10 meses
Puntos: 2135
Respuesta: en que momento los datos son vulnerables?

Si la mandas hasheada con MD5 por ejemplo es cuestión de que la almacenes hasheada en la BDD también así solo comparas si son iguales (es decir si los hashes son iguales).

Saludos.
  #8 (permalink)  
Antiguo 06/10/2011, 11:20
Avatar de morfasto  
Fecha de Ingreso: julio-2011
Ubicación: Lima
Mensajes: 291
Antigüedad: 12 años, 8 meses
Puntos: 8
Respuesta: en que momento los datos son vulnerables?

Eso quiere decir que la contraseña que se guarda en la base de datos debe de ser guardada encripatada?
  #9 (permalink)  
Antiguo 06/10/2011, 11:22
Avatar de h2swider  
Fecha de Ingreso: julio-2007
Ubicación: Ciudad de Buenos Aires
Mensajes: 932
Antigüedad: 16 años, 8 meses
Puntos: 194
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por morfasto Ver Mensaje
Eso quiere decir que la contraseña que se guarda en la base de datos debe de ser guardada encripatada?
satamente
__________________
Codifica siempre como si la persona que finalmente mantedra tu código sea un psicópata violento que sabe donde vives
  #10 (permalink)  
Antiguo 06/10/2011, 11:24
Avatar de NUCKLEAR
Moderador radioactivo
 
Fecha de Ingreso: octubre-2005
Ubicación: Cordoba-Argentina
Mensajes: 5.688
Antigüedad: 18 años, 4 meses
Puntos: 890
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por morfasto Ver Mensaje
Eso quiere decir que la contraseña que se guarda en la base de datos debe de ser guardada encripatada?
No se si encripatada pero si encriptada con el algoritmo/function que elegiste.
__________________
Drupal Argentina
  #11 (permalink)  
Antiguo 06/10/2011, 11:28
Avatar de Uncontroled_Duck
Colaborador
 
Fecha de Ingreso: mayo-2011
Ubicación: Málaga [Spain]
Mensajes: 806
Antigüedad: 12 años, 10 meses
Puntos: 261
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por morfasto Ver Mensaje
Eso quiere decir que la contraseña que se guarda en la base de datos debe de ser guardada encripatada?
Por ejemplo, un usuario se registra con la contraseña: pepe.
El sistema la hashea y la pasa a md5 y la guarda. (puede ser cualquier otro, sha1...)
Esta sería:926e27eecdbc7a18858b3798ba99bddd

Cuando se loguea, vueleve a introducir la pass, que es pepe

El sistema vuelve a hashear la pass:
pepe = 926e27eecdbc7a18858b3798ba99bddd

Recoge los datos de la DB, que es: 926e27eecdbc7a18858b3798ba99bddd

Y los compara, si son iguales, pasa, si no, pues a intentar de nuevo...
__________________
Todos agradeceremos que pongas el código en su respectivo Highlight
  #12 (permalink)  
Antiguo 06/10/2011, 11:35
Avatar de morfasto  
Fecha de Ingreso: julio-2011
Ubicación: Lima
Mensajes: 291
Antigüedad: 12 años, 8 meses
Puntos: 8
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por NUCKLEAR Ver Mensaje
No se si encripatada pero si encriptada con el algoritmo/function que elegiste.
Jajajaja, buena observacion!

Otra consulta, si yo tengo un formulario en mi .php, a la hora de hacer click en submit, este formulario hace un post en otro .php enviandole valores. Estos valores que se envian son vulnerables?

Por ejemplo, a la hora de loguearme, debo de poner mi usuario y mi password, a la hora de enviarlo, estoy enviando mi password sin ser encriptado, esta bien asi? o debo de hacerlo de otra manera?

Gracias!
  #13 (permalink)  
Antiguo 06/10/2011, 11:44
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 17 años, 10 meses
Puntos: 2135
Respuesta: en que momento los datos son vulnerables?

Recuerda, md5 es un algoritmo de hasheo, no de encriptación, no confundas esos terminos pues son esecnciales ya que son muy diferentes.

Sí son vulnerables, por eso es recomendable usar SSL para prevenir que esos datos que viajan sean modificados por un tercero.

Saludos.
  #14 (permalink)  
Antiguo 06/10/2011, 13:00
Avatar de Andreys123456  
Fecha de Ingreso: febrero-2009
Ubicación: Perez Zeledon
Mensajes: 148
Antigüedad: 15 años, 1 mes
Puntos: 0
Respuesta: en que momento los datos son vulnerables?

Wooow que interesante este tema !!
Me va a servir de mucho ami tambien !
Saludos y gracias !
  #15 (permalink)  
Antiguo 06/10/2011, 14:49
Avatar de ricardo_tu  
Fecha de Ingreso: noviembre-2010
Ubicación: Mas aca del mas alla
Mensajes: 222
Antigüedad: 13 años, 4 meses
Puntos: 32
Respuesta: en que momento los datos son vulnerables?

Han pensado que exceso de trabajo, que cantidad de horas y como nos afectan la vida diaria uno pocos bichos ponsoñosos que atacan webs. Y cuan inermes estamos antes sus disimuladas y encubiertas agresiones. Si al menos dieran la cara, si al menos dejaran su firma como lo hacemos en nuestras webs a la vista y escrutinio de todos, pero elijen la cobardía como arma.

Creo que ni una maldición faraónica es suficiente para condenar a estos #@<%%#?".
__________________
La ciencia al poder. Pazciencia ya viene
  #16 (permalink)  
Antiguo 06/10/2011, 16:22
 
Fecha de Ingreso: julio-2005
Mensajes: 310
Antigüedad: 18 años, 8 meses
Puntos: 36
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por Andreys123456 Ver Mensaje
Wooow que interesante este tema !!
Me va a servir de mucho ami tambien !
Saludos y gracias !
Y eso que todavía no te han explicado los ataques CSRF :P, uno de los grandes olvidados y, en mi opinión, bastante interesante. Yo descubrí el maravilloso mundo de Zend Framework gracias a que me dio pereza crear una clase para utilizar contra este tipo de ataques. Con Zend escribiendo una línea bastó :D
  #17 (permalink)  
Antiguo 06/10/2011, 16:40
Avatar de kaninox  
Fecha de Ingreso: septiembre-2005
Ubicación: In my House
Mensajes: 3.597
Antigüedad: 18 años, 6 meses
Puntos: 49
Respuesta: en que momento los datos son vulnerables?

La verdad es un tema complejo, por mas que hashees la contraseña si tu pc tiene un keylogger la saco.
pero enfocado a la seguridad web, el hash ayuda por si se hacen con tu base de datos, y mas que nada es un tema de ética profesional ya que detrás de todo siempre hay uno que otro informático y la mayoría ocupa las mismas claves para todo.
en el caso de la seguridad web hay que tener en cuenta como se menciono antes las posibles intruciones a traves del mismo codigo, como paso las variables, si son por POST o por GET? si van a traves de https o SSL etc... evitar las injecciones SQL es donde le dedicaria mas tiempo y a los ataques de fuerza bruta que le llaman etc.
tu debes proteger la integridad de tu base de datos, el proteger a cada uno de tus clientes es un tema complicado y más menos largo de explicar aquí.

siempre es bueno usar : mysql_real_escape_string(); stripslashes(); para limpiar las cadenas de texto que ingresan. el famoso get_magic_quotes_gpc();

etc..

Saludos
__________________
Gokuh Salvo al mundo. PUNTO!!!!
  #18 (permalink)  
Antiguo 06/10/2011, 16:44
Avatar de andresdzphp
Colaborador
 
Fecha de Ingreso: julio-2011
Ubicación: $this->Colombia;
Mensajes: 2.749
Antigüedad: 12 años, 8 meses
Puntos: 793
Respuesta: en que momento los datos son vulnerables?

kaninox a que te refieres con get_magic_quotes_gpc() ??? usar magic quotes?
__________________
Si sabemos como leer e interpretar el manual será mucho más fácil aprender PHP. En lugar de confiar en ejemplos o copiar y pegar - PHP
  #19 (permalink)  
Antiguo 06/10/2011, 17:20
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 17 años, 10 meses
Puntos: 2135
Respuesta: en que momento los datos son vulnerables?

Espero que se refiera a detectar magic_quotes_gpc y usar stripslahes o algo similar...
  #20 (permalink)  
Antiguo 06/10/2011, 17:50
Avatar de gustavopino  
Fecha de Ingreso: septiembre-2011
Ubicación: venezuela
Mensajes: 152
Antigüedad: 12 años, 6 meses
Puntos: 29
Respuesta: en que momento los datos son vulnerables?

Amigos y que opinan de jCryption he visto que sirve para encriptar formularios es bueno?
__________________
Visita a Publiventa donde compras y vendes de todo
  #21 (permalink)  
Antiguo 06/10/2011, 17:53
Avatar de Andreys123456  
Fecha de Ingreso: febrero-2009
Ubicación: Perez Zeledon
Mensajes: 148
Antigüedad: 15 años, 1 mes
Puntos: 0
Respuesta: en que momento los datos son vulnerables?

Cierto kiko's. yo la verdad conosco muy poco de Zend. y trabajo mas con Codeigniter. No se cual sera mejor de los dos me imagino que Zend ?
  #22 (permalink)  
Antiguo 08/10/2011, 14:16
 
Fecha de Ingreso: julio-2005
Mensajes: 310
Antigüedad: 18 años, 8 meses
Puntos: 36
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por Andreys123456 Ver Mensaje
Cierto kiko's. yo la verdad conosco muy poco de Zend. y trabajo mas con Codeigniter. No se cual sera mejor de los dos me imagino que Zend ?
Dicen que Zend es mucho más potente pero su curva de aprendizaje es más elevada. Codeigniter a la inversa, es más fácil pero menos potente. Nunca probé codeigniter así que no puedo opinar. Lo suyo es decirse y escoger uno. Yo escogí Zend pues pienso que vale más la pena dedicarle tiempo al principio y recoger sus frutos después. Y la verdad que estoy muy contento, pero todavía me queda mucho por aprender, empecé con él a finales de junio para crear un pequeño proyecto.
  #23 (permalink)  
Antiguo 20/10/2011, 12:51
Avatar de kaninox  
Fecha de Ingreso: septiembre-2005
Ubicación: In my House
Mensajes: 3.597
Antigüedad: 18 años, 6 meses
Puntos: 49
Respuesta: en que momento los datos son vulnerables?

Cita:
Iniciado por GatorV Ver Mensaje
Espero que se refiera a detectar magic_quotes_gpc y usar stripslahes o algo similar...
Pues si me referia a eso ;)
__________________
Gokuh Salvo al mundo. PUNTO!!!!

Etiquetas: usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:34.