En mi web, en el apartado de administracion me gustaria hacer un sistema mas seguro del que tengo.
Me gustaria que si alguien introduce mal la contraseña dos veces la pagina se bloquee.
Cual creen que seria la mejor forma de hacerlo?
Un saludo
10/09/2011, 20:47
| |||
| |||
| Sistema seguridad login. Hola a todos. En mi web, en el apartado de administracion me gustaria hacer un sistema mas seguro del que tengo. Me gustaria que si alguien introduce mal la contraseña dos veces la pagina se bloquee. Cual creen que seria la mejor forma de hacerlo? Un saludo |
|
10/09/2011, 23:41
| |||
| |||
| Respuesta: Sistema seguridad login. Una opción, es que agregues en tu tabla de usuarios de la base de datos un campo "intentos" o algo así, y que por cada intento fallido lo incremente, si llega a dos la próxima vez que intente logear directamente que no pueda. Podrá seguir intentando registrarse y navegando por la web, pero supongo que lo que te importa es evitar un ataque por fuerza bruta. Otra opción es usar captchas. |
|
11/09/2011, 05:13
| |||
| |||
| Respuesta: Sistema seguridad login. Cita: Cookies seria una buena idea, pero se podrian borrar y ya no funcionaria el sistema.
Iniciado por ZoroRoronoa  usando cookies ? Seria una opcion (: Creo que la idea de @MiLLeN me parece buena. Una comprobacion de cuantos intentos lleva siempre antes de nada y si lleva dos que no ejecute el codigo. El problema es que no tengo ninguna tabla en la BD para usuarios, ya que solo hay uno. |
|
11/09/2011, 05:44
| |||
| |||
| Respuesta: Sistema seguridad login. Creas otro campo "permisos" o "roles", o algo, asi, y separas por "," los diferentes roles de un usuario. Por ejemplo admin: invitado,usuario,admin usuario: invitado,usuario invitado: invitado y compruebas que el usuario que esta intentando loguearse, tiene entre sus roles el de admin. |
|
11/09/2011, 08:19
| |||
| |||
| Respuesta: Sistema seguridad login. Cita: No necesito administradores o usuarios diferentes. Solo hay uno, con su user y su pass que es el que entra a la parte de admin del sitio.
Iniciado por hasdpk ¿Entonces como sabes quienes son los administradores o no? en algun sitio tienes que consultarlo. |
|
11/09/2011, 08:35
| |||
| |||
| Respuesta: Sistema seguridad login. Entonces con $_SESSION y un fichero donde coloques las credenciales es suficiente, en cada fichero restringido, compruebas si la session esta o no. |
|
11/09/2011, 09:10
| |||
| |||
| Respuesta: Sistema seguridad login. A ver, si el sistema de seguridad esta hecho. Yo compruebo los datos en una pagina que si son correctos crea una session nueva. Yo lo que quiero es un metodo por el cual al hacer dos intentos fallidos la pagina se bloquee. |
|
11/09/2011, 09:16
| |||
| |||
| Respuesta: Sistema seguridad login. Entonces tendrás que guardar los máximos datos posibles que identifiquen al usuario que esta haciendo esos intentos.. todo depende de cómo lo quieras hacer. Por ejemplo, IP, navegador, sistema operativo.. y entonces tu en tu bbdd guardas cada intento de acceso en la bbdd, con un boolean del tipo, acceso correcto o no correcto. Después tendrás que establecer en que rango de tiempo vas a consultar el último acceso para proceder al bloqueo, si tu consulta devuelve x (en tu caso 2), no dejas hacer el login. Entiendes? |
|
11/09/2011, 09:19
| ||||
| ||||
| Respuesta: Sistema seguridad login. 1. Opto por la opción de un campo en una tabla para el control de intentos, pero si no sobrepasa el limite de intentos... después de un periodo de tiempo el campo debería volver a 0. Al igual que debes validar los tiempos entre los intentos. Una híbrido entre tabla y cookies seria lo mejor, y la información en cookies siempre con encripción con semilla.... 2. Crear un campo oculto completamente vació, el cual siempre que se envíe "debe mantenerse vacío", de lo contrario lo ingreso un robot y no debe procesarse la solicitud(El estilo se debe colocar debe el archivo .css de la página, no desde el formulario.
Código:
3. Coloca esto en un archivo .php, y adicionalo al inicio de todo formulario(Valida en que afecta tu aplicación).<input style="visibility:hidden" name="pvalidate" type="" value=""/>
Código:
4. En-cripta los parámetros en la url.foreach($_GET as $varb=>$valor){
$_GET[$varb] = isset($_GET[$varb])?$_GET[$varb]:null;
$_GET[$varb] = str_replace('\'','',$_GET[$varb]);
$_GET[$varb] = escapeshellcmd($_GET[$varb]);
}
foreach($_POST as $varb=>$valor){
$_POST[$varb] = strip_tags($_POST[$varb]); //xss
//$_POST[$varb] = str_replace('\'','',$_POST[$varb]); //isql
//$_POST[$varb] = isset($_POST[$varb])?$_POST[$varb]:null;
//$_POST[$varb] = escapeshellcmd($_POST[$varb]);
}
5. Una costumbre que no debe faltar en las vistas. <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Expires" content="-1"> 6. Separa el código que accede a la base de datos, el que valida los usuarios debe estar en una carpeta separada(Preferiblemente en clases) con un archivo que impida su acceso (.htaccess). Mucho menos aun con un password especifico, solo por vía ftp... y en todos los directorios menos el raíz crea un archivo index.htm en blanco (Accede a las secciones de la página por sistema de web modular y valida el ataque por inclusión de código remoto .php). Un saludo, |
|
11/09/2011, 09:27
| |||
| |||
| Respuesta: Sistema seguridad login. Cita: Si creas un rango de tiempo, no es necesario hacer nada más , no?
Iniciado por SPAWN3000 pero si no sobrepasa el limite de intentos... Es decir, harías una consulta a la BBDD de los minutos / horas que decidas, por ejemplo, 24 horas. Respecto al campo oculto.. no entiendo su utilidad.. no se porque no es del tipo hidden.. El resto de como ordenar el código hay opciones, yo uso MVC. |
|
11/09/2011, 17:23
| |||
| |||
| Respuesta: Sistema seguridad login. Cual es la diferencia entre web modular y MVC? Creo que usare lo de la BB. Hare un registro de todas las entradas (con la info de la IP, navegador, etc) y si hay un intento fallido en el ultimo registro no permito la entrada hasta pasados 30 minutos. Ademas me envio un email con los datos del "incidente". Un saludo y gracias |
|
12/09/2011, 01:26
| |||
| |||
| Respuesta: Sistema seguridad login. No se si es lo mismo o es diferente.. pero por ejemplo, en Codeigniter, puedes hacer que se usen modulos, con la instalación de un complemento. Entonces pasa a ser HMVC Un saludo! |
|
12/09/2011, 03:45
| ||||
| ||||
| Respuesta: Sistema seguridad login. yo en mi web tengo puesto que un user tenga permisos de admin. al loguear me mete una cookie que dura 2 dias y en ella esta metido el nombre del user (en este caso, admin) y por toda la pagina tengo ifs que depende de cual sea el valor de esa cookie pongan una cosa o otra. creo que el uso de cookies es lo mejor porque si la cookie se va, simplemente es volver a loguear |
| Etiquetas: |
