[SOLUCIONADO] Trabajar en localhost, es seguro?

Buenas Tardes foro! Les queria hacer una simple consulta...

En el comercio donde trabajo queremos tener un pequeño sistema con php y mysql en donde se anoten los datos de venta / compra diarias y alguna otra informacion.

La idea es que solo sea local, osea que se ingrese por medio de LocalHost usando Xammp... la pregunta es muy tonta, pero como soy bastante nuevo en el tema me la quiero sacar.

Yo se que si subo todo a un WebHosting existe la posibilidad que me salten el usuario y puedan ver la informacion... si trabjo desde LocalHost es totalmente cerrado no? Nadie que no pertenezca a mi red podria verlo??


Disculpen si es media boluda la pregunta, pero no quiero hacer cagadas y divulgar informacion sensible :P

Aún así trabajes en local si no configuras tu servidor web alguien podrá ingresas con conocer tu IP, que claro es una remota posibilidad, pero a grandes rasgos no deberías tener problemas.

Claro, pero eso ya seria en el caso de que alguien concretamente me conozca no? es un negocio familiar.

Igualmente pienso poner que requiera una session activa y en donde solo exista un usuario sin la posibilidad de agregar mas, con la contraseña encriptada con md5 y con una longitud de no mas de 6 caracteres para evitar que ingresen algo raro en ese campo

No deberías de tener ningún problema.
Por lo general los Router comerciales que montan las operadores suelen venir con el NAT, DMZ desactivado, a parte de que se utilizan ip's dinámicas.
Por lo que el acceso desde Internet a tu LAN es bastante difícil.
Otra cosa es desde la misma LAN.
Igualmente puedes configurar el entorno para que sólo ciertas ip's sean atendidas por el servidor.

La opción de crear un login me parece acertado, independientemente de todo lo demás.

En ambos terrenos (online o local), si lo que envías no viaja por un canal cifrado, se pueden obtener los datos de acceso (y demás información) con un simple sniffing.

Te recomiendo instalar un certificado SSL/TLS (los buenos no son gratis, pero son seguros, que es lo que importa). Si estás usando XAMPP te recomiendo este tutorial: https://mimentevuela.wordpress.com/2...pp-en-windows/ (certificado auto-firmado, local y gratuito).

La verdad yo no entiendo mucho de seguridad.

pero en mi opinion alguien que no te conozca no va a hacer ningun esfuerzo para acceder a tu DB.

Y en caso de tratarse de alguien que te conozca, y creo que deberia de tener conocimientos mas que "basicos".

asi que supongo que no tendras problemas, claro... a menos que justo por la vereda pase un hacker y diga: "Ho, un hermoso local para destruir informacion".
es una posibilidad, pero aun asi lo dudo.

Instar a no preocuparse por la seguridad es uno de los mayores fallos de seguridad

Y después terminan como terminan...

"en mi opinion alguien que no te conozca no va a hacer ningun esfuerzo para acceder a tu DB"
Por supuesto que sí, en eso se basa el hacking, en hacer los esfuerzos para entrar en los sistemas objetivo.

Con un auto/coche/carro enfrente del local, un portátil y una antena WiFi pueden simplemente entrar a la IP donde está el localhost de XAMPP, si tanto Apache como MySQL y PHPMyAdmin están por defecto (no hay configuradas contraseñas, etc.), tienen pase libre para hacer lo que quieran. Entre esas cosas, ver y editar la base de datos.

No estoy deacuerdo, si lo que dice el forero que abrio el tema es ingresar únicamente por medio de localhost, entiendo que ingresa al servidor desde la misma maquina, lo que comunmente se denomina localhost, es decir ip 127.0.0.1 y que yo sepa no hay forma de capturar el trafico TCP a esa IP desde una forma externa a la maquina, ya que no es una conexión que se haga desde la red, sino desde la misma maquina. Por lo que no veo necesidad de hacer un cifrado TLS o SSL si se accediera desde localhost (misma maquina donde está el servidor).

Otra cosa es que hablemos que solo tendrian acceso desde una red local desde cualquier otro dispositivo al servidor. Entonces si hay posibilidad de capturar como tú dices con sniffing. Pero claro el atacante debe tener acceso a la red local. Por lo que si es una red compartida donde hay trabajadores del comercio que no quieres que puedan hacer sniffing, o conocer dichos datos de clientes. Entieno que se deba cifrar.

Tambien lo cifraria, si el servidor o el dispositivo cliente en vez de conectarse a la red via cable, lo hiciera por wireless (wifi).

Pero vamos, yo creo que en este caso, más que el cifrado, lo más importante es la arquitectura de red local que monte para el servidor y su seguridad. Puertos cerrados al exterior, la configuración del router, cortafuegos, etc... Y vuelvo a decir, si el acceso va a ser solo por localhost, no veo necesidad de cifrado, pero sí de tener actualizado el antivirus, bien configurado el cortafuegos y no instalar programas sospechosos en el ordenador...

Pero vamos, si el servidor solo va a ser para eso, y se accede solo via localhost, lo dejas desconectado de internet para siempre, y te ahorras todo el trabajo de seguridad de red. A ver quien lo hackea sin estar conectado a internet, ni a red local.

No basta con saber la ip para poder ingresar. Si el ordenador que haga el servidor, no tiene abierto los puertos apache y de la base de datos de forma, y el cortafuegos bien configurado. O el mismo apache lo puede configurar para que no deje acceder a nadie ajeno a la dirección 127.0.0.1 que es localhost. Y lo mismo el mysql.

Aun sabiendo la IP públicca el atacante, necesitaria saber la ip local. El router a menos que hayas hecho una redirección de puertos, o hayas creado un servidor DNS, no va a dirigir a la ip local.

Pero si el atacante está en la misma red local, si que le bastaria con saber la ip. Y ahí si te daria la razón.

Es más facil para el atacante acceder a traves de un troyano que intentar entrar por fuerza bruta buscando puertos.

Y para lo que comenta el forero, no necesita que el servidor tenga ni internet. Vamos si solo lo va a usar para eso, puede mantener el servidor desconectado de internet. ya que accedera a la plataforma web desde la misma maquina que hace de servidor.