sesiones seguras en login como?

diegomel · #1 (**permalink**) 18/07/2012, 18:12

a ver si me pueden ayudar, el tema es asi , yo tengo armado un login en php.
ahora el tema es , que como es obvio se necesita crear una sesion para luego poder autenticar el usuario en cada pagina cuando el logeo es exitoso , y la otra es crear una sesion con algo que pueda identificar el ID para luego poder mostrar por ej los datos del usuario.
cual seria la manera segura de armar las $_SESSION en este caso?

tambien vi que creando $_SESSION['REMOTE_ADDR'] = $_SERVER['REMOTE_ADDR'];
y $_SESSION['HTTP_USER_AGENT'] = $_SERVER['HTTP_USER_AGENT'];
uno controla que sea la misma persona.

espero haberme explicado bien cual es mi pregunta.

espero ideas, gracias.

cuasatar · #2 (**permalink**) 18/07/2012, 21:15

No sobraria que te leyeras un poco sobre este tema en php security consortium. Te lo pase por el traductor de google:

http://translate.google.es/translate...guide%2F4.html

Y la versión original ya que la traducción presenta algunas incoherencias:

http://phpsec.org/projects/guide/4.html

La idea principal es poder tener un login mas seguro. Cuando uno realiza el login lo que hace es comparar con una base de datos y ademas compara las cabeceras con el fin de asegurar que ninguna otra persona pueda robar tu sesión.

#3 (**permalink**) 18/07/2012, 22:54

con una sola session no lo veo muy seguro , mete mas seguridad

1 una session con un dato que identifique al usuario y si puede ser cifrado mejor ejemplo
$_SESSION['usuario'] = base64_encode(strip_tags($_POST['usuario ']));

2 una session con un token aleatorio para el usuario
$_SESSION['token'] = md5(rand().$_SESSION['usuario']

3 guardamos en la bd ese token y en todas las paginas comparas la session con el de la bd y si esta bien volvemos generar otro en la session y en la bd

4 una session con las cabeceras y las comparamos en todas las paginas
$ _SESSION ['HTTP_USER_AGENT'] = md5 ($ _SERVER ['HTTP_USER_AGENT'])

5 y por ultimo crea una cadena con todos los datos
$_SESSION['cadena']=md5($_SESSION['usuario '].$_SESSION['HTTP_USER_AGENT'].session_id().aqui en esta session añade lo que tu quieras, yo te puse ejemplo na mas)

como ves ya es algo mas complicado

nunca guardes el password en una session ni envies nada entre paginas sin codificar

diegomel · #4 (**permalink**) 19/07/2012, 07:30

la verdad buenisimo lo que me pasaron, voy a probarlo , ahora una ultima duda, con el tema de recordar usuario como tienen muchas paginas, que es lo que guardaria en los cookies para luego que se logee automaticamente?. y para logearlo tendria que hacer el select en la Db con los cookies o hay alguna otra forma para hacerlo sin guardar usuario y password en cookies.

desde ya muchas gracias.

y una duda. la sesssion que me decis de guardar una cadena con todos los datos, para que seria?. gracias nuevamente.

#5 (**permalink**) 19/07/2012, 10:38

haber esa session con una cadena pues te sirve para mucho para verificar que ese usuario es el mismo que dice ser por ejemplo y todas las demas sessiones que te puse es para verificar que el usuario es el que dice ser , contra mas complicado lo pongas mas dificil sera para un atacante

yo haria un script que estuviera en todas las paginas y antes de nada me verifique esos datos

diegomel · #6 (**permalink**) 19/07/2012, 11:04

y el tema de los cookies para logearse automatico como seria? que guardaria y como lo logeo? gracias de nuevo

#7 (**permalink**) 19/07/2012, 12:11

la verdad nunca hecho eso pero supongo que sera mas de lo mismo , guardas en la cookie el usuario y al gun dato que identifique ese usuario token etc ... lo cifras por seguridad ya sea todo en una cadena o por separado y deberias tener un script que verifique si dispones de esa cookie de ser asi y no existir las sessiones creas las sessiones y por ultimo le das acceso pero , este proceso de recordar usuario debes de hacerlo muy bien si no seria una vulnerabilidad considerable

diegomel · #8 (**permalink**) 19/07/2012, 14:49

te hago la ultima pregunta, en la sesion que identifique al usuario la primera., yo tengo por ej el ID y el mail que son unicos , cual uso o es lo mismo uno u otro?. y porque?
saludos

#9 (**permalink**) 19/07/2012, 14:54

puedes usar un id un nombre el email lo que tu veas pero que sea un dato unico para identificar al usuario , por que despues seguro que pasaras consultas , tendras un perfil , etc.... y debes de saber quien es auque este identificado si no no habria manera de saber quien es , si que esta logeado pero no su identidad , por eso un dato como minimo debe de ser de sus datos unicos el user el email el id un campo que tu crees con un dato que solo le identifique a el para no estar enviando datos suyos o incluso unir ambos