En que situacion sirve ocultar los ids?

RatoN7 · #1 (**permalink**) 16/06/2011, 14:30

Buenas, aqui mi consulta.

Hace tiempo en mi web vengo usando una formula matematica para ocultar los ids numericos de los registros de la base de datos en los lugares visibles como en las urls.

Lo hice asi porque no me gustaba la idea de que alguien pueda acceder a las secciones editando la url al cambiar un numero. No se que tan grave puede ser pero como llevo poco tiempo con programacion por las dudas lo hice asi.

Asi que les consulto:
Ustedes, en sus webs. Cuando tienen que armar una url en donde si o si tiene que haber un numero unico de identificacion para encontrar el objeto, ocultan ese id o lo ponen asi tal cual es?? porque?

Gracias

GatorV · #2 (**permalink**) 16/06/2011, 14:40

Yo lo pongo tal cual es, y mejor tengo un buen acceso de control implementado, así puedo chequear que el usuario tiene permisos para ver el registro o no.

Ese tipo de "ofuscación" como la que haces, es realmente seguridad por oscuridad, porque realmente no es seguro (si alguien reconoce como haces la formula pues ya pierdes), es mejor que dentro de la misma aplicación hagas un control de acceso y verifiques que el usuario tiene o no permisos para ver el registro.

Saludos.

skiper0125 · #3 (**permalink**) 16/06/2011, 14:41

Hola que tal mira en mi forma de programar puedes pasar los valores que tu quieras pero para mayor seguridad los puedes encriptar al momento del envio y desencriptar al momento de recibirlos.

y en mi forma personal utilizo variables de sesion y cookies para mayor seguridad.

Saludos

jotaincubus · #4 (**permalink**) 16/06/2011, 14:42

Yo lo oculto con MD5 y lo hago porque como tu mismo lo dices no todos los usuarios de internet son bien intencionados... como me dijo alguien alguna vez: "TRATE LOS USUARIOS COMO SI TODOS FUERAN HACKERS"

iviamontes · #5 (**permalink**) 16/06/2011, 15:52

supongo que el se refería el tipo noviedades por ejemplo que puede ver sus detalles en otra pagina pasando por get el id de la novedad, no veo que sea malo que te cambien el id, siempre y cuando estés protegido contra algunos ataques, y que muestres solo las novedades que puede ver ese usuario segun su nivel de permiso, aunque te pase el id correcto de una que no tenga permisos

Triby · #6 (**permalink**) 16/06/2011, 16:29

Como dijo GatorV, es mejor tener un buen control de acceso que ocultar la id.

Que pasa si tienes un buen control de acceso y alguien intenta ingresar a contenido "protegido" cambiando algo en la URL?
1- Puede ingresar?... Por mucho que encriptes u ofusques las id's, la seguridad del sitio estara comprometida, tarde o temprano puede haber un ataque
2- No puede ingresar?... Cual seria la necesidad de encriptar id's?

RatoN7 · #7 (**permalink**) 17/06/2011, 18:09

Muchas gracias por sus respuestas.

Claro como dicen muchos utilizo variables de sesion para manejar urls dentro de una sesion. Pero el tema es cuando son urls publicas, sin usuarios registrados.
Ahi ya lo pense, como dicen GatorV, iviamontes y Triby no hay necesidad de ofuscar la id si todo el contenido es publico y sin posibilidad de edicion.

Con el control de acceso me quedo tranquilo porque lo pense y lo verifique varias veces, aunque bueno, siempre hay que seguir intentando hackear tu propia web.

De nuevo Muchas Gracias Gente.

Saludos