Foros del Web » Programando para Internet » ASP Clásico »

Este sistema de seguridad sirve?

Estas en el tema de Este sistema de seguridad sirve? en el foro de ASP Clásico en Foros del Web. Tengo un sitio al cual para ingresar hay que logearse, pero lo que quiero evitar es que una vez que el usuario sepa la ruta ...
  #1 (permalink)  
Antiguo 08/06/2007, 13:12
 
Fecha de Ingreso: diciembre-2004
Mensajes: 139
Antigüedad: 19 años, 5 meses
Puntos: 1
Este sistema de seguridad sirve?

Tengo un sitio al cual para ingresar hay que logearse, pero lo que quiero evitar es que una vez que el usuario sepa la ruta a alguna de las paginas del sitio no pueda ingresar directamente escribiendo la ruta en la barra de direcciones.

Por ej:
"ww.misitio.com\carpetarestringida\archivoparaloge ados.asp"

Entonces anduve leyendo por ahi y termine haciendo una variable session("logeado") que al ingresar bien la clave del login se pone TRUE. Y en todas las paginas me fijo antes si session("logeado") es TRUE sino lo redirecciono a la pagina del login automaticamente.

Ya lo implemente y ande bien, pero quiero saber si alguno sabe de alguna falla que tenga este sistema.
  #2 (permalink)  
Antiguo 08/06/2007, 13:22
Avatar de u_goldman
Moderador
 
Fecha de Ingreso: enero-2002
Mensajes: 8.031
Antigüedad: 22 años, 5 meses
Puntos: 98
Re: Este sistema de seguridad sirve?

Si sirve...pero recuerda que la seguridad no es enteramente labor de la plataforma, habría que ver qué, cómo y cuándo estás implementando tu seguridad.

Saludos
__________________
"El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera."
-- Ernest Hemingway
  #3 (permalink)  
Antiguo 08/06/2007, 13:56
 
Fecha de Ingreso: diciembre-2004
Mensajes: 139
Antigüedad: 19 años, 5 meses
Puntos: 1
Re: Este sistema de seguridad sirve?

Con que sirva como algo basico es suficiente, tampoco estoy programando para el pentagono.

Ahora me surgio otro problema, que ya solucione pero tengo mis dudas:

El sitio que hice consta de algunas paginas en asp y usa una base de datos pequeña. Como lo usan diferentes clientes, para no mezclar los datos de todos en la misma base, lo que decidi hacer es carpetas diferentes en donde cada uno tiene todas las paginas asp y su propia base de datos.
En la carpeta raiz esta el login.asp el cual si se logea bien redirecciona al cliente a su carpeta. Que seria algo asi:

ww.misitio.com/cliente1/index.asp
o
ww.misitio.com/cliente2/index.asp

Anda todo bien. Ahora supongamos que entra un cliente y se logea bien, esto pone a la variable Session("logeado") = TRUE, con lo cual puede acceder a sus paginas en su carpeta. Pero el problema es que si al usuario se le ocurre cambiar la ruta en la barra de direcciones cambiando "cliente1" por "cliente2" este entraria en el index.asp del otro cliente ya que su Session("logeado") es TRUE, me explico??

Lo que se me ocurrio es que cuando se logea, la variable Session tome el valor de su respectiva carpeta, osea "ww.misitio.com/cliente1/index.asp " y que cada pagina se fije si la ruta actual coincide con la Session, asi si se cambia de carpeta no coincide la ruta con el session y lo redirecciona al login.

Esta bien lo que hice? ven algun problema con eso????
  #4 (permalink)  
Antiguo 08/06/2007, 14:00
Avatar de Shiryu_Libra
Colaborador
 
Fecha de Ingreso: febrero-2007
Ubicación: Cantando "Screenager" en "Kirafa Kaput"
Mensajes: 3.614
Antigüedad: 17 años, 3 meses
Puntos: 88
Re: Este sistema de seguridad sirve?

en ese caso si entraria el usuario, ...(si conociera esa ruta que tu pones)...,

por que?? por que tu solo evaluas que sea SESSION("logeado")=TRUE

necesitarias anexarle otro campo u otra variable session, solo para separarlos

suerte
__________________
"Eres parte del problema, parte de la solucion o parte del paisaje"
Un Saludo desde Desierto de Altar, Sonora, MX.
Shiryu_libra
  #5 (permalink)  
Antiguo 08/06/2007, 14:06
Avatar de u_goldman
Moderador
 
Fecha de Ingreso: enero-2002
Mensajes: 8.031
Antigüedad: 22 años, 5 meses
Puntos: 98
Re: Este sistema de seguridad sirve?

Y en todo caso por qué depender de la ruta?
session = 1
session = 2
session = 3
session = N

Como de todas maneras tienes que modificar todos estos archivos, cada carpeta tiene un valor. No me terminar de convencer pero es mejor que utilizar la ruta.

Saludos
__________________
"El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera."
-- Ernest Hemingway
  #6 (permalink)  
Antiguo 08/06/2007, 14:16
Avatar de Shiryu_Libra
Colaborador
 
Fecha de Ingreso: febrero-2007
Ubicación: Cantando "Screenager" en "Kirafa Kaput"
Mensajes: 3.614
Antigüedad: 17 años, 3 meses
Puntos: 88
Re: Este sistema de seguridad sirve?

creo que seria mas factible tener un IFRAME, oculto para que no se conosca a que carpeta esta entrando el usuario, de esta manera no podra cambiar a ningun lado y ni cuenta se dara que navega dentro de otras instancias de tu servidor

a eso agregale lo que U_G () te dice
__________________
"Eres parte del problema, parte de la solucion o parte del paisaje"
Un Saludo desde Desierto de Altar, Sonora, MX.
Shiryu_libra
  #7 (permalink)  
Antiguo 08/06/2007, 14:19
Avatar de u_goldman
Moderador
 
Fecha de Ingreso: enero-2002
Mensajes: 8.031
Antigüedad: 22 años, 5 meses
Puntos: 98
Re: Este sistema de seguridad sirve?

Cita:
Iniciado por Shiryu_Libra Ver Mensaje
creo que seria mas factible tener un IFRAME, oculto para que no se conosca a que carpeta esta entrando el usuario, de esta manera no podra cambiar a ningun lado y ni cuenta se dara que navega dentro de otras instancias de tu servidor

a eso agregale lo que U_G () te dice
Pero...y si veo el código fuente?
__________________
"El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera."
-- Ernest Hemingway
  #8 (permalink)  
Antiguo 08/06/2007, 14:30
Avatar de Shiryu_Libra
Colaborador
 
Fecha de Ingreso: febrero-2007
Ubicación: Cantando "Screenager" en "Kirafa Kaput"
Mensajes: 3.614
Antigüedad: 17 años, 3 meses
Puntos: 88
Re: Este sistema de seguridad sirve?

pero que tal si....

en la cookie que le generas a un usuario X
se le asigna el:
path=" + ruta;
domain=" + dominio;
y el IFRAME utilice la FAQ 49

aunado a lo que ya se comento....


__________________
"Eres parte del problema, parte de la solucion o parte del paisaje"
Un Saludo desde Desierto de Altar, Sonora, MX.
Shiryu_libra
  #9 (permalink)  
Antiguo 08/06/2007, 17:08
 
Fecha de Ingreso: diciembre-2004
Mensajes: 139
Antigüedad: 19 años, 5 meses
Puntos: 1
Re: Este sistema de seguridad sirve?

Cita:
Iniciado por Shiryu_Libra Ver Mensaje
en ese caso si entraria el usuario, ...(si conociera esa ruta que tu pones)...,

por que?? por que tu solo evaluas que sea SESSION("logeado")=TRUE

necesitarias anexarle otro campo u otra variable session, solo para separarlos
Por eso ! entraria igual !, entonces en vez de que session sea True o False le doy el valor de la carpeta que corresponde a ese cliente, por ej:
Código:
<%
if LaClaveEsCorrecta = True then
Session("logeado") = "ww.misitio.com/cliente1"
redirect("ww.misitio.com/cliente1/index.asp")
end if%>

Entonces en todas las paginas asp pongo lo siguiente:
Código:
<%
RutaActual = ##funcion que recoge la ruta acutal##
If Session("logeado") <> RutaActual then
redirect("ww.misitio.com/login")
end if
%>
Entonces el logeo solo funciona para la carpeta del cliente y no para otra. Y es mas facil de pegar el codigo en todas las paginas porque es el mismo codigo para todas.
  #10 (permalink)  
Antiguo 08/06/2007, 17:21
Avatar de AlZuwaga
Colaborador
 
Fecha de Ingreso: febrero-2001
Ubicación: 34.517 S, 58.500 O
Mensajes: 14.550
Antigüedad: 23 años, 3 meses
Puntos: 535
Re: Este sistema de seguridad sirve?

Me parece una buena solución .
Es más, no "pegás" el mismo código en toooodas las carpetas. Usás un include virtual a ese archivo ubicado en la raíz del servidor.
  #11 (permalink)  
Antiguo 08/06/2007, 17:49
Avatar de Shiryu_Libra
Colaborador
 
Fecha de Ingreso: febrero-2007
Ubicación: Cantando "Screenager" en "Kirafa Kaput"
Mensajes: 3.614
Antigüedad: 17 años, 3 meses
Puntos: 88
Re: Este sistema de seguridad sirve?

buena llamada

ahora te tocan las birrias por hacerlo sencillo

Saluddd!!
__________________
"Eres parte del problema, parte de la solucion o parte del paisaje"
Un Saludo desde Desierto de Altar, Sonora, MX.
Shiryu_libra
  #12 (permalink)  
Antiguo 08/06/2007, 19:45
 
Fecha de Ingreso: diciembre-2004
Mensajes: 139
Antigüedad: 19 años, 5 meses
Puntos: 1
Re: Este sistema de seguridad sirve?

Buenisimo !!! entonces voy a hacer eso.

Ahora tengo otra consulta !!! esta vez mas facil creo.

Unas de estas paginas asp de las que les hable es el centro de todas, supongamos index.asp
Esta pagina es dos al mismo tiempo, por un lado es una pagina que muestra unos simples datos al visitante y por el otro funciona como un panel de control por parte del administrador, que vendria a ser la persona que se logea.
Resumiendo, si entras con un querystring ?administrador=si , la pagina funciona como panel de control, y si entras sin ningun querystring te toma como un usuario comun y corriente y te muestra ciertos datos.

Mi objetivo es ocultar ese querystring para que ningun usuario lo escriba por su cuenta.

Se que para eso hay dos opciones, una pasar los datos con request.form, la cual no puedo porque al logearse lo redirecciona automaticamente. Y la otra es con frames pero prefiero no meterme en eso porque ya anda casi todo perfecto asi como esta.

Mi pregunta entonces es: si en vez de usar un querystring lo hago con session que desventajas podria tener??
  #13 (permalink)  
Antiguo 08/06/2007, 20:22
Avatar de Shiryu_Libra
Colaborador
 
Fecha de Ingreso: febrero-2007
Ubicación: Cantando "Screenager" en "Kirafa Kaput"
Mensajes: 3.614
Antigüedad: 17 años, 3 meses
Puntos: 88
Re: Este sistema de seguridad sirve?

imagino que todos e incluso el administrador tiene que forzosamente entrar por INDEX.ASP, para logearse, es asi???

ahora si fuese esto cierto,
como sabes quien es administrador o no?
tiene un campo en la base donde describes "tipo de cuenta"???

si es afirmativo...
simplemente el orden de los IF para preguntar antes de mostrar todo, y EVITA PONER PARAMETROS EN EL URL

if session("loguearse")<>"ok" then
formulario de inicio de session
else
if session("tipo")<>"admin" then
pagina normal
else
pagina para administrador
end if
end if

es una forma...

suerte
__________________
"Eres parte del problema, parte de la solucion o parte del paisaje"
Un Saludo desde Desierto de Altar, Sonora, MX.
Shiryu_libra
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:48.