Foros del Web » Creando para Internet » Diseño web »

recomendacion de seguridad

Estas en el tema de recomendacion de seguridad en el foro de Diseño web en Foros del Web. Hola amigos.. Estoy programando una aplicación .. y debe ser lo mas segura posible.. Recomiendo la lectura de code.google.com/p/doctype/wiki/EsArticleXSS Hay varias paginas, con muchas cosas ...
  #1 (permalink)  
Antiguo 29/04/2009, 14:39
 
Fecha de Ingreso: mayo-2007
Mensajes: 11
Antigüedad: 16 años, 10 meses
Puntos: 0
Exclamación recomendacion de seguridad

Hola amigos..
Estoy programando una aplicación .. y debe ser lo mas segura posible..

Recomiendo la lectura de
code.google.com/p/doctype/wiki/EsArticleXSS

Hay varias paginas, con muchas cosas para tener en cuenta al programar en entorno web

Bueno.. tengo un modelo de trabajo que consiste en 3 paginas y muchas otras de proceso:


Acceso.php:
Al cagar esta pagina, se limpia las cookie del sitio.
se procesa el login y el password teniendo en cuenta la limplieza de la cadena de comandos maliciosos y de < > & " '
Si las credenciales son correctas es creada una cookie llamada llave, con un valor almacenado de 64 caracteres y el usuario es enviado mediante header a entorno_usuario.php


entorno_usuario.php
Tiene una rutina al inicio que valida la cookie del usuario llamada llave, en la base de datos donde se almacena la sesion

Si la validación es correcta, la hora de la sesion se actualiza y se muestra el contenido del entorno, en el caso contrario las cookie del sitio son borradas y el usuario es direccionado mediante header a una pagina de error.

Dentro de entorno_usuario.php esta el contenido y los menu de usuario
Estos estan hecho con HTML/CCS respentando los estandares
Cuando el usuario necesita información, por ejemplo: le da click al boton reporte general

Es capturado el evento con javascript y es enviada la petición mediante AJAX aun pagina llamada interprete.php la cual procesa la petición y responde en formato text.
Esa respuesta puede traer etiquetas HTML, pero me aseguro que sea text conl Content-Type


Interprete.php

Recibe la petición de consulta, de la siguiente forma:
$peticion = (int) $_post[‘tipo_peticion’];

Los tipos de petición son validadas con un switch y según sea el caso se procesa la petición con un include en otro archivo el cual imprimira la respuesta con echo

Internamente los archivos que fueron llamados con includes estan condicionados a que la sesion del usuario este activa
Todas las variables que llegan a ellos estan escapadas y limpiadas de etiquetas HTML, php, malas palabras, etc

Y se trata de tipar los datos.. osea si se que un dato debe llegar tipo string .. me aseguro de eso.


Puesto que php trabaja de forma trasparente con SSL, cuando monte la aplicación en el servidor me preocupare por la implementación de la encriptación.

Umm otra cosa, tengo pensado crear diferentes tipos de usuario en la base de datos según el acceso y los privilegios de usuario en la aplicación


Bueno tambien me parece interesante el articulo de maestrodelweb

maestrosdelweb.com
editoria
haz-que-tu-servidor-se-defienda-por-si-mismo-contra-ataques-ddos

ya que utilizo ajax y un usuario mal intensionado puede abusar de mi aplicación.

Bueno comento todo esto por que necesito sugerencias, recomendaciones, etc


como no tengo mucho tiempo en el foro.. y tampoco escribo tanto.. entonc los enlaces a las paginas q recomiendo no pueden ser publicados de forma habitual... espero que logren localizar el contendio
  #2 (permalink)  
Antiguo 29/04/2009, 15:06
 
Fecha de Ingreso: enero-2009
Mensajes: 455
Antigüedad: 15 años, 2 meses
Puntos: 11
Respuesta: recomendacion de seguridad

recomiendo un certificado de seguridad para tu sitio, e esta firma cuando ingresen a el, aparecera el https que es un sitio seguro, puedes ver opciones de como adquirir uno por la red

saludos
  #3 (permalink)  
Antiguo 29/04/2009, 15:14
 
Fecha de Ingreso: mayo-2007
Mensajes: 11
Antigüedad: 16 años, 10 meses
Puntos: 0
De acuerdo Respuesta: recomendacion de seguridad

si la parte de los certificados ya la estube pensando...
la empresa de hosting que utilizo los provee... caros.. pero es una medida que debo tomar...

gracias por tu comentario...

agredesco cualquiero otro.... es muy importante estar seguro que la forma en que pienso hacer las cosas es la correcta
  #4 (permalink)  
Antiguo 30/04/2009, 08:56
 
Fecha de Ingreso: enero-2009
Mensajes: 455
Antigüedad: 15 años, 2 meses
Puntos: 11
Respuesta: recomendacion de seguridad

simplemente por curiosidad y como posible dato para futuras referencias, que empresa de hosting utilizas? y cual es el precio de los certificados?
  #5 (permalink)  
Antiguo 04/05/2009, 07:36
 
Fecha de Ingreso: mayo-2007
Mensajes: 11
Antigüedad: 16 años, 10 meses
Puntos: 0
Respuesta: recomendacion de seguridad

estoy en ********.com

tiene buenos precios y parecen ser buenos.

busque varios en mi pais... y sinceramente lo roban a uno con los precios..
al final me quede con estos pq puedo pagar en moneda local y con deposito bancario.
  #6 (permalink)  
Antiguo 04/05/2009, 07:38
 
Fecha de Ingreso: mayo-2007
Mensajes: 11
Antigüedad: 16 años, 10 meses
Puntos: 0
Respuesta: recomendacion de seguridad

:s se me olvida q no puedo escribir direcciones web..

d.a.t.t.a.t.e.c.

ese es el sitio... quitale los puntos
  #7 (permalink)  
Antiguo 04/05/2009, 20:27
 
Fecha de Ingreso: enero-2009
Mensajes: 455
Antigüedad: 15 años, 2 meses
Puntos: 11
Respuesta: recomendacion de seguridad

gracias le dare una revisada
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:37.