Foros del Web » Programando para Internet » PHP »

Talvez debilita seguridad....

Estas en el tema de Talvez debilita seguridad.... en el foro de PHP en Foros del Web. Hola todos, estoy de vuelta por aca, despues de un buen tiempo de no postear en el foro de php, pero bueno estoy de vuelta ...
  #1 (permalink)  
Antiguo 26/03/2004, 11:45
Avatar de davidMS  
Fecha de Ingreso: abril-2003
Ubicación: Chepe
Mensajes: 202
Antigüedad: 14 años, 7 meses
Puntos: 0
Talvez debilita seguridad....

Hola todos, estoy de vuelta por aca, despues de un buen tiempo de no postear en el foro de php, pero bueno estoy de vuelta y con un tema para discutir que es el siguiente...

Estoy desarrollando una aplicaccion que tiene que ser completamente segura (SSL,MD5,ENCRYPT...etc)...
despues de haberme implementado unos buenos mecanimos de seguridad, y la aplicacion casi lista, me topo con el cliente, que no quiere cuando le da back en el explorador, que le salga lo de la "caducacion de la pagina"... si ese tema que se discute por todo lado de como quitarlo que no se puede, que si pero bueno..
yo lo arregle agregando esto a la pagina que se regresa:

Código PHP:
header("Last-Modified: " gmdate("D, d M Y H:i:s") . " GMT");        // Siempre página modificada
header("Cache-Control: max-age=0");                   // HTTP/1.1 
lo que note es que en algunas circustancias, guarda el php en los temporales, bueno alguna clase de php, porque a la hora de copiarlo a otro lado, te sale como elarchivo.html (por dicha)

Me pregunta es.... afectara algo esto en todas mis medidas de seguridad... dejare un hoyo para que se filtren??

de antemano muchas gracias...

y feliz por el retorno..

pura vida!
  #2 (permalink)  
Antiguo 26/03/2004, 12:17
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Yo suelo usar sesiones y cabeceras "no chaché" (incluidas las que ya manda las sesiones por defecto de PHP ..) y no suelo tener problemas con el "back" y dicho mensajito ... (y si que los tenía habitualmente antes de seguir esta técnica)

Lo que hago (el proceso) sería:

1) HTML/script captura datos. (fomularios method POST o GET .. etc) -> mando a procesar.php
2) procesar.php termina el proceso y redireciono automáticamente (header ("location ....")) hacia el script que corresponda (ver el listado .. etc ...)

De esta forma nunca he tenido problemas de hecho .. así mandas tu sobre el flujo de la aplicación y no tiene por qué el usuario usar los botones del navegador si tu le vas guiando el proceso natural de la aplicación. Y .. si lo usa no pasa nada .. los redireccionamientos vía header() dejan cabeceras "limpias" de variables que reenviar al navegador y por ende dé el aviso (tanto de que va a enviar datos .. como de que la página solicitada caducó).

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 03:03.