Que cantidad de datos podemos tomar del usuario?

Uncontroled_Duck · #1 (**permalink**) 24/07/2011, 13:55

Bueno, pues esta es mi pregunta:
Que cantidad de datos podemos tomar del usuario cuando nos visita?

Con el fin de tener control sobre quien visita o usa nuestras aplicaciones, creo que la cantidad de datos "fiables" que podemos obtener del usuario juega un papel importante dentro de la seguridad.

La aplicación que estoy desarrollando controla desde la base de datos las sesiones. Esta a su vez con cada llamada comprueba la consistencia de la sesión, del navegador y de dos cookies distintas. En el caso de la ip, he leído en algún libro que no es recomendable comprobar la consistencia, pues algunos sistemas cambia la ip cada ciertas llamadas... alguno de vosotros por vuestra experiencia podrá confirmar o no este tema de la ip.

Volviendo a mi pregunta inicial, si queremos tener más control, sobre por ejemplo el uso de un único usuario que entre desde una ubicación determinada o terminal concreto... que más datos tenemos a nuestra disposición para hacer las comprobaciones necesarias.

El tema de la geolocalización por ip también lo he descartado, pues todavía no he visto alguno que sea lo bastante fiable.

Llevo varias semanas, consultando webs, libros y demás, y quitando lo que comento en el inicio, me parece un poco pobre en cantidad y fiabilidad los datos que podemos obtener del visitante.

Dejo esto abierto para el que pueda o quiera aportar alguna información al respecto, creo que muchos de los usuarios del foro a veces se habrán preguntado lo mismo.

Saludos y gracias de antemano por pasar.

PD.: Igual no es necesario tanta seguridad y me estoy volviendo algo paranoico

maycolalvarez · #2 (**permalink**) 24/07/2011, 16:32

el modulo session de php controla eficientemente las sesiones, un sistema de logeo básico es tu primera barrera de seguridad, ¿como reafirmo la seguridad?:

- aplicando CAPTCHA y/o confirmación por emails
- aplicando protección frente a XSS y CSRF
- aplicando protección contra SQL inyections

entre otras.

perryjr · #3 (**permalink**) 26/07/2011, 12:20

IP no fiables!! NO! De verdad. Todavía tengo en la memoría ese gran fallo. Cuando los usuarios entraban y luego parecían que no lo habían hecho. Por alguna razon, cada 3 minutos o así, les cambiaba la IP (todas en el mismo rango XX.XX.XX.[cambiaba]) pero fastidiaba el script.

Si los datos son con fines estadísticos, Google Analytics (http://analytics.google.com/) es la mejor opción.

Si en cambio los datos son por seguridad: sessions, como ha dicho maycolalvarez. De todas maneras, y de nuevo citándole, hay errores que son mucho más problemáticos e importantes que las IPs. Además puedes tener problemas con el modo incógnito de los navegadores, por ejemplo. Es el mismo navegador, la misma IP incluso; pero las cookies no están. Podrías volverte loco teniendo que administrar dos usuarios distintos, uno normal y otro de incognito, que trabajen en el mismo equipo; la unica manera es asignarle un ID a cada uno (cosa que ya hace sessions, asi que.. )

Uncontroled_Duck · #4 (**permalink**) 26/07/2011, 13:29

Deduzco entonces, que lo poco que nos queda fiable son las propias ID de session.

Sobre el tema de las IP, pues ya me has aclarado una duda más. Tenía las líneas de comprobación en el código, pero comentadas "//", hasta que me quedara claro este tema. Así que las eliminaré, gracias por pasar

Un saludo,

maycolalvarez · #5 (**permalink**) 26/07/2011, 15:44

Cita:

Iniciado por perryjr

Además puedes tener problemas con el modo incógnito de los navegadores, por ejemplo. Es el mismo navegador, la misma IP incluso; pero las cookies no están. Podrías volverte loco teniendo que administrar dos usuarios distintos, uno normal y otro de incognito, que trabajen en el mismo equipo; la unica manera es asignarle un ID a cada uno (cosa que ya hace sessions, asi que.. )

el modo incógnito en los navegadores se limita a no guardar el historial y a borrar las cookies creadas durante la sesión, por lo que navegar cualquier sitio en modo incognito no afecta su funcionamiento en caso de cookies de sesión, cuando el navegador sale de dicho modo dichas cookies se borran, además ese modo no puede ocultar ni borrar el rastro que deja el usuario en su ISP, ni tampoco oculta su IP

perryjr · #6 (**permalink**) 27/07/2011, 04:25

Cita:

Iniciado por maycolalvarez

el modo incógnito en los navegadores se limita a no guardar el historial y a borrar las cookies creadas durante la sesión, por lo que navegar cualquier sitio en modo incognito no afecta su funcionamiento en caso de cookies de sesión, cuando el navegador sale de dicho modo dichas cookies se borran, además ese modo no puede ocultar ni borrar el rastro que deja el usuario en su ISP, ni tampoco oculta su IP

El problema de las IP iba por separado, me refería a que por experiencia propia tenía dos usuarios distintos, que cada 3 minutos, cambiaba su IP automáticamente, dejándome a mi sin poder identificarlos.

Lo de incognito me refería, a que, si por ejemplo estás en Gmail, ya has accedido; y ahora abres una ventana de incógnito, si vas a Gmail te volverá a preguntar otra vez el usuario y contraseña. Las ventanas normales y las ventanas de incógnito tienen distintas cookies (y en estas últimas se borran al salir, como tu has dicho). Son como dos navegadores distintos.