Foros del Web » Programando para Internet » PHP »

Seguridad en la aplicación?

Estas en el tema de Seguridad en la aplicación? en el foro de PHP en Foros del Web. Hola amigos: Tengo una página web hecha con PHP y para el tema de la seguridad he usado sesiones PHP. Pero me han hablado de ...
  #1 (permalink)  
Antiguo 01/09/2005, 05:27
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
Seguridad en la aplicación?

Hola amigos:
Tengo una página web hecha con PHP y para el tema de la seguridad he usado sesiones PHP. Pero me han hablado de que ello no es suficiente, que necesito usar los protocolos SSL o HTTPS...
¿Alguien sabe si con las sesiones PHP me basta? Si necesito SSL, ¿alguien me puede decir cómo usarlo y crear certificados SSL?
Muchas gracias
  #2 (permalink)  
Antiguo 01/09/2005, 06:42
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
depende de lo que sea para un pago pasarela de pago etc si es recomendable usar ssl pero para un uso normal de clientes no..

el ssl tienes que solicitarlo y contratarlo a tu proveedor de hosting, pero que yo sepa no es gratuito..

explicanos un poko de que va la web para poder aconsejarte mejor

Un Saludo
  #3 (permalink)  
Antiguo 01/09/2005, 07:19
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
Es una página web de una inmobilibaria (ficticia, no existe realmente, es para un proyecto). Pagos no hay, lo que sí hay es registro y login de usuarios, además los agentes inmobiliarios también deben hacer login.
También la persona del administrador hace login para acceder a su sección.
Un usuario registrado puede consultar los detalles de un inmueble y si le interesa, puede indicar al sistema que le interesa, para una futura visita, y también puede almacenar un inmueble como "favorito" para poder volver a consultar sus detalles en otro momento.
Eso es, a grandes rasgos, lo de la página.
  #4 (permalink)  
Antiguo 01/09/2005, 07:23
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
yo no veo la necesidad de usar ssl a simple vista es uan aplicacion que no tiene que conllevar un uso estricto de seguridad, yo loq ue si haria es para los logeos usar session en vez de cookie


Un Saludo
  #5 (permalink)  
Antiguo 01/09/2005, 07:29
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
OK, las cookies no las he usado, lo tengo con sesiones.
Entonces, si solo se usan logeos tipicos de nick y password, ¿no sería estrictamente necesario el uso de SSL?
  #6 (permalink)  
Antiguo 01/09/2005, 08:02
 
Fecha de Ingreso: abril-2005
Ubicación: 34°35'49.20"S | 58°24'06.
Mensajes: 158
Antigüedad: 12 años, 7 meses
Puntos: 3
Cita:
Iniciado por kabe_jrr
OK, las cookies no las he usado, lo tengo con sesiones.
Entonces, si solo se usan logeos tipicos de nick y password, ¿no sería estrictamente necesario el uso de SSL?
como "estrictamente" no. Si sería mucho más seguro? Si, si y si... pero necesario? no.
para un sitio como el tuyo, con solo usr & pwd bastaría; a menos que tambien vayas a querer hacer pagos online... Por ejemplo este foro, no usa ssl.
Como mayor seguridad, podes hacer que al 3er intento, bloquee la cuenta y mande un mail al usuario registrado avisandole que alguien quiso entrar, y que siga algun paso para cambiarla o recuperarla si es q se la olvido.

y menos si es un proyecto y te dicen que es pago (al menos yo no lo haria).
  #7 (permalink)  
Antiguo 01/09/2005, 08:24
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
SSL te asegura la encriptación de datos que viajan entre cliente-servidor (tu navegaror <-> servidor) .. Por ende hasta ese dato de "contraseña/usuario" viajará "plano" sin encriptación si no usas SSL y podría ser fácilmente capturado el dato en una LAN por ejemplo con un simple "snnifer" (aplicación que captura datos que circulan por tu red .. por supuesto dependiendo de las características de cada red).

Deberías comentar de que se trata tu proyecto .. sobre todo a nivel de si en proyecto está el usar un servicio de hosting .. o vas a usar tus própios servidores .. supongo que todo deberá colcar al final de un domino .com (o lo que sea) con validez en internet .. Por ende .. a tu SSL debes adquirir el certificado que va a asegurar a tus usuarios/visitas de tu sitio que quien emite esa seguridad SSL es quien dice ser.

Para PHP y tu programación en general todo esto es "transparente" no lo controlas con PHP y haces nada más extra (salvo técnicamente colocar tu sitio en el directorio que quede bajo SSL para accesos por https:// ... según configures o te indique tu proveedor).

Un saludo,

Un saludo,
  #8 (permalink)  
Antiguo 01/09/2005, 13:16
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
Vale, el tema es que no solo se guardan user & password de los usuarios que se registran, sino que también su teléfono (obligatorio a la hora del registro para un posible contacto con un agente inmobiliario, del que también se guardan sus datos personales) en la base de datos.

Entonces, se podría considerar que se almacenan datos "sensibles"... Con lo cual creo que sí tendré que usar SSL, cuyo concepto tengo claro (gracias Cluster), pero... ¿cómo "activarlo", y cómo hacer certificados teniendo Apache bajo Windows, que es lo que uso?

Es decir, sé "qué es" pero no sé "cómo hacerlo". He buscado información al respecto pero no encuentro nada...

Ah, casi me olvido: la página web (mi proyecto) la tengo en mi propio ordenador y en principio aquí se quedará por el momento.
  #9 (permalink)  
Antiguo 01/09/2005, 13:33
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
perdón, lizota?
  #10 (permalink)  
Antiguo 02/09/2005, 11:03
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
¿Alguien me dice por favor cómo activar SSL en el Apache bajo Windows que tengo y cómo generar certificados para ello?
Muchas gracias
  #11 (permalink)  
Antiguo 02/09/2005, 11:29
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Para "activar" SSL en Apache debes instalar el módulo para Apache: mod_ssl, y luego OpenSSL o equivalente que proporcina todo el tema de creación/gestión de los certificados y la encriptación de datos(si mal no recuerdo).

Si usas google por "mod_ssl windows" veras muchos tutoriales:
http://tud.at/programm/apache-ssl-win32-howto.php3

Un saludo,
  #12 (permalink)  
Antiguo 05/09/2005, 04:09
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
OK, he seguido el manual de esa página, y me parece que he creado bien los certificados, ahora el tema es que no sé cómo comprobar si lo he hecho bien o no.
Si pongo https://mi-pagina me sale "página no encontrada". ¿Lo hice mal, entonces?
  #13 (permalink)  
Antiguo 05/09/2005, 05:38
 
Fecha de Ingreso: septiembre-2003
Mensajes: 320
Antigüedad: 14 años, 2 meses
Puntos: 3
Bueno, he comprobado que si pongo https://localhost, parece estar todo correctamente (me sale si deseo instalar el certificado y el candadito abajo y tal).

Pero el problema viene si pongo https://mi-pagina (tengo mi página alojada en mi propio ordenador, no en un servidor remoto tipo Lycos) ya me indica que "no se puede mostrar la página".

¿Cómo puedo hacer para que salga bien de esa segunda manera que os he contado?

Muchas gracias.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 15:08.