Autenticación de usuario SEGURA

atoleon · #1 (**permalink**) 03/06/2009, 15:29

Hola a todos

Después de varios tutoriales ya me siento capacitado para realizar un sistema de autenticación utilizando sesiones (creo, o almenos me parece, que es más sencillo y seguro que las cookies).
Bueno, lo básico me lo se: crear un formulario para introducir los datos, crear una página donde comprobar los datos y luego si es correcto crear una variable que indique si el login es correcto o incorrecto. Luego lo típico, en cada página comprobar si está logeado o no mediante la variable de sesión.
Lo que pasa es que me temo que ese sistema puede ser muy vulnerable a intrusiones o malos usos. La cuestión es que como no se como vulneralo tampoco se como protegerlo. Mi intención es, que usuarios más experimentados que hayan usado este sistema de autenticación digan que problemas de seguridad pueden tener o como se pueden vulnerar. Una vez conocido por donde pueden venir los ataques podremos averiguar como contrarrestarlos.
Otra cosa que no me vendría mal

, es un enlace a algún tuto que hable del tema.

Gracias a todos

GatorV · #2 (**permalink**) 03/06/2009, 15:36

Si usas una variable de sesión, es muy dificíl que sea vulnerable, esto es porque las variables de sesión se almacenan en el servidor, y no en el cliente.

La única forma que pudiera ser vulnerable es si tu sitio es vunerable a XSS, y te roban la cookie de la sesión, pero si tienes cuidado y filtras todas tus variables de entrada entonces no vas a presentar agujeros de seguridad.

Saludos.

atoleon · #3 (**permalink**) 05/06/2009, 02:35

Gracias por la respuesta. Me quedo un poco más tranquilo. Pero me gustaría saber algo más sobre eso que comentas de filtrar las variables de entrada. No se a que te refieres con eso.

Saludos a todos

danielrivas · #4 (**permalink**) 05/06/2009, 03:08

Lo normal es que tu sitio no sera vulnerable a XSS...

Filtrar las variables es para evitar que alguien intente enviar código malicioso a través de formularios (o por get).

Yo además, para evitar el robo de sesiones, registro la IP de acceso y si en algun momento cambia, destruyo la sesión.

atoleon · #5 (**permalink**) 05/06/2009, 04:06

Cita:

Iniciado por danielrivas

Lo normal es que tu sitio no sera vulnerable a XSS...

Filtrar las variables es para evitar que alguien intente enviar código malicioso a través de formularios (o por get).

Yo además, para evitar el robo de sesiones, registro la IP de acceso y si en algun momento cambia, destruyo la sesión.

Perdona si soy algo tronco, pero sigo sin tener claro qué es filtrar las variables.

Por otro lado cuando dices que cambia de ip, ¿te refieres a que cambie de IP en la misma sesión?

danielrivas · #6 (**permalink**) 05/06/2009, 04:13

Googlea un poco, te servirá de mucha ayuda...

http://www.google.es/search?q=filtrar+variables+php

A cambiar de IP me refiero a un supuesto robo de ID sesión (esto sólo pasa normalmente en alojamientos compartidos) no a que el mismo usuario cambie de IP