problemas de seguridad en mi pagina .CFM

yetto · #1 (**permalink**) 25/10/2004, 11:23

Hola!!, como ustedes saben no soy muy diestro en esto del confusión pero ya le encuentro el sabor que creo que todos ustedes saben que tiene, una pregunta, quiero hacer una pagina con un certificado, pero este no puede ser modificado por el usuario al que esta dirigido, e intentado los siguientes pasos:

1. realice un bloqueo al BODY asi: (<BODY ondragstart="return false" oncontextmenu="return false" onselectstart="return false">)
2. afirmativamente me suspende la selección de imagines y los textos no se puede seleccionar, pero el problema continua,
3. si guardo la pagina localmente, esta se guarda en el PC y al abrir el código es fácilmente modificable. (Así que un usuario “malicioso” cambiaria el contenido de mi pagina e imprimirá el contenido que a el le convenga)

pido de su ayuda para:

· Restringir el download de la pagina. (así prohibir al usuario para que este no pueda ver el código )
· Dejar sin posibilidad al usuario para que este haga cambios ala pagina así la guarde en su PC.

Gracias por su ayuda, tengo problemas con esto y ya he notado a alguien que bajo la pagina y la modifico en valores del código su código, ayuda.

Thebrain · #2 (**permalink**) 25/10/2004, 19:18

en el caso de restringir los downloads esto se puede hacer con una combinacion de <cfheader> y <cfcontent> es muy simple, dependiendo del tipod e archivos que quieras que bajen, te podria yudar con el codigo para que se acomode mas

en cuanto a los otros, lamentablemente esto es 'imposible' hay varios recursos...
- encriptar el codigo cfm (escripta el archivo original pero el texto HTML del usuario, lo muestra de la misma forma
- encriptar el HTMl via javascript, se demora un poco y esta sujeto a la sompatibilidad del explorador... es la via mas apta si las personas que visitan tu pagina, no son 'pro' en la materia
- usar los recusos javascript para evitar la vista del codigo mostrado en el explorador (bloquear boton derecho, no mostrar la fuente, usar el no-cache, etc etc)

bueno, si quieres encriptar el codigo fuente el script, hay un archivo que viene con cf llamado cfencrypt.exe (para el que porsupuesto hay en internet su contraparte cfdecrypt.exe)

pero por el momento, no e visto pagina que NO me permita ver los contenidos de la fuente

orchabel · #3 (**permalink**) 26/10/2004, 07:44

si es cierto... se pueden hacer muchas estrategias para tratar de ocultar y hacer dificil la modificación de estas páginas. Desafortunadamente los navegadores solo interpretan codigo HTML y no código encriptado (Como dice el amigo Brain), sin embargo de alguno u otra forma se verá ese codigo. Como recomendación te diría que hicieras esas páginas bajo una autenticación, para que solo las personas que tengan acceso con usuario y password puedan verlas. La otra es que uses algo embevido en la página y que este compilado y no se pueda modificar... algo así como un applet, o un formulario en Flash.... se podría bajar obviamente... pero para modificarlo necesitaría clave (en el caso de flash) o el codigo fuente en caso del applet. Saludos!

yetto · #4 (**permalink**) 26/10/2004, 08:18

Gracias a todos, Thebrain el codigo que quiero no se pueda modificar es solo un simple texto con valores para un certificado, los usuario ya estan validados dentro del aplicativo, pero la duda

esta en la parte de los valores $$$$ para que el usuario nnnooo pueda modificarlos, si tienes algun ejemplo que muestre parte del codigo restringido me seria de mucha ayuda

gracias

Thebrain · #5 (**permalink**) 26/10/2004, 09:54

creo entender para donde va la cosa.... podrias poner un ejemplo de lo que ya llevas, tengo una idea, pero necesito algo concreto donde aplicarla

yetto · #6 (**permalink**) 29/10/2004, 15:43

mira esta es la parte que deseo no se pueda modificar gracias por pensar en este problema

espero tu idea me pueda solucionar esto gracias Yetto

HACE CONSTAR </center>Que el(la) señor(a) <cfoutput query="Query">#nombres#</cfoutput> identificado con cédula de ciudadanía No. <cfoutput query="Query">#cedula#, de ciudad#</cfoutput> trabaja para esta compañía desde el <cfoutput query="Query">#ingreso#</cfoutput>, desempeñando actualmente el cargo de <cfoutput query="Query">#cargo#</cfoutput>. 
Que su actual salario mensual<cfif reg is "INTEGRAL">INTEGRAL</cfif>
asciende a la suma de $<cfoutput query="Query">#salario_total#</cfoutput> (<cfoutput query="Query">#salario_total_letras#</cfoutput>).
<cfoutput query="Query"><cfset var=#variable#></cfoutput>
<cfif var is not 0> De los cuales $<cfoutput query="Query">#salario_basico#</cfoutput> (<cfoutput query="Query">#salario_basico_letras#</cfoutput>) corresponde a su salario <cfif reg is "INTEGRAL">INTEGRAL</cfif> y $<cfoutput query="Query">#variable#</cfoutput> (<cfoutput query="Query">#variable_letras#</cfoutput>) corresponde a el promedio de la parte variable.</cfif> 
El(La) señor(a) <cfoutput query="Query">#nombres#</cfoutput>  tiene contrato a termino  <cfoutput query="Query">#tipo_de_contrato#</cfoutput>. 
Se expide la presente en el lugar y fecha arriba mencionados.

Thebrain · #7 (**permalink**) 30/10/2004, 12:54

Código:

HACE CONSTAR
<br>
<br>
<br>
<br>
</center>
</b>
</font>
<cfoutput query="Query">
<font face="verdana" size="2">
<p align="justify">
Que el(la) señor(a) <b>#nombres#</b> identificado con cédula de ciudadanía No.#cedula#, de #ciudad# trabaja para esta compañía desde el #ingreso#, desempeñando actualmente el cargo de #cargo#.
<br>
<br>
<br>
Que su actual salario mensual <cfif reg is "INTEGRAL">INTEGRAL</cfif> asciende a la suma de $#salario_total# (#salario_total_letras#).
<cfset var=#variable#>
<cfif var neq 0> De los cuales $#salario_basico# (#salario_basico_letras#) corresponde a su salario <cfif reg is "INTEGRAL">INTEGRAL</cfif> y $#variable# (#variable_letras#) corresponde a el promedio de la parte variable.</cfif>
<br>
<br>
<br>
El(La) señor(a)&nbsp;<b>#nombres#</b>&nbsp; tiene contrato a termino #tipo_de_contrato#.
<br>
<br>
<br>
Se expide la presente en el lugar y fecha arriba mencionados.<br>
</cfoutput>
<br>
<br>
<br>
<br>

ahi lo modifiqé un poco, es basicamente lo mismo, solo que quitandole muchos cfoutputs innecesarios

ahora, esoty confundido, esto lo unico que hace es mostrar los datos, no se como será el resto de la pagina, pero por lo que veo (y a no ser que la URL no este definida con alguna campo de la base de datos **) no hay ningun error de seguridad (como bien dijiste, ya estaban identificados dentro de la aplicacion), ni le da cabida para modirficar algun dato

** con esto me refiero a
Estructura de la Base de datos (tabla 'datos')
ID | Nombre | Edad
1 Carlos 25
2 Manuel 30

si yo llamo al campo Manuel, nomrmalmente lo haria con alguna especie de variable
pagina.cfm?id=2

esto es demasiado inseguro ya que si yo escribo pagina.cfm?id=2;DROP TABLE datos lo que va a hacer CF va a mostrar los datos y luego borrar la tabla, ocacionando la perdida de datos

como prevenir esto?
en nuestro cfquery
al momento de poner la condicion para llamar a la variable, en vez de poner simplemente #URL.id# usar <cfqueryparam>

que para este caso seria
<cfqueryparam cfsqltype="CF_SQL_INTEGER" value="#URL.id#" />

asi, si el visitante escribe otra cosa que no sea un numero, va a tirar un error