18/10/2007, 07:22
| ||||
| ||||
 Que tan segura es una Session? Saludos amigos del foro de ASP! Andaba un poco perdido de esta seccion.. A ver me gustaria saber que tan seguras pueden ser las sessiones  , pues estoy haciendo un proyecto el cual requiere extrema seguridad y estoy almacenando conexiones a bases de datos en Session.. Que opinan, estoy haciendo bien o estoy cometiendo una locura?  Espero por su valiosa ayuda!!  Saludos a Todos!!  Messer
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 08:26
| ||||
| ||||
| Re: Que tan segura es una Session? Hola messer, la verdad que no veo una relación directa entre guardar la conexión en una variable de sesión y un sitio de extrema seguridad, lo que si te puedo decir es que sin duda, el performance de tu aplicación se verá afectado con esta práctica, quizás si desarrollas tu problema, alquién pueda contestarte una mejor solución. Saludos
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
18/10/2007, 09:58
| ||||
| ||||
| Re: Que tan segura es una Session? Perdon, no es la conexion lo que almaceno en las Session, sino el usuario y la clave del Servidor de Bases de Datos.. Saludos!
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 10:05
| ||||
| ||||
| Re: Que tan segura es una Session? ¿Pero, de dónde tomas los datos inicialmente? porque de algún lado debes partir, supongo que lo que no quieres es tener en "código duro" estos datos, pero podrías también cifrarlos/descifrarlos, así lo que verían las personas que accedan al código serían los datos cifrados, y no necesitas llevarlas a sesión, pero de nuevo messer, si no nos explicas mejor, es imposible adivinar. Un saludo
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
18/10/2007, 10:31
| ||||
| ||||
| Re: Que tan segura es una Session? Saludos u_goldman. Bien, inicialmente hay un archivo que es el que veirifica al usuario, si es autorizado, crea las sesiones y carga datos del usuario, si no pues redirige a un archivo de error de login. El archivo que verifica a los usuarios, es aquel que contiene la informacion de UID y PWD para la base de datos.. el mismo que crea las sesiones. Lo que me gustaria saber en realidad es si estas sesiones se pueden acceder de algun modo, por alguien ajeno al sistema.. Es decir supongamos que logran captar user y login para acceder al sistema, podria acceder a esta informacion de alguna manera? Es bueno el metodo de cifrado, pero si alguien tuviese acceso al codigo fuente, seria lo mismo que nada, no? Espero haber sido claro.
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 11:39
| ||||
| ||||
| Re: Que tan segura es una Session? Ok, entonces estamos hablando de los datos de cada usuario que una vez autentificado son guardados en sesiones...pues es la manera normal de proceder y de hacer persistir los datos, y ultimadamente a mi modo de ver una de las menos inseguras ya que los datos de sesión son volátiles y están en memoria del servidor y asociados con una cookie en el cliente, pero realmente lo importante vive en el servidor, como no se haga así, me parece que correrías más riesgos. Definitivamente si alguien tiene acceso al código pues puede hacer muchísimas más cosas que obtener los datos de conexión...pero respondí pues pensé que esa era la inquietud; de ser así podrías por ejemplo hacer el cifrado de estos en una dll de manera tal que no se pudiera ver el método de cifrado/descifrado, pero esa es otra historia. No se si realmente respondí tu duda, así que para ser más claro, a mi modo de ver, las sesiones son la manera más segura de hacer persistir estos datos. Saludos
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
18/10/2007, 12:46
| ||||
| ||||
| Re: Que tan segura es una Session? Muy bien u_goldman, mas o menos por ahi va la cosa, me preocupa porque no es datos de un ususario x en particular sin del usuario de MySQL que en este caso es el motor con el que estoy trabajando. En este caso justamente la cookie del cliente es lo que mas me preocupa, no se hasta donde se puede llegar con ella. Otra cosa, cuando me hablas de crear una DLL te refieres a un archivo DLL real con extension *.DLL y que al abrir, no se entiende nada del contenido?, si es asi, podiras decirme como crear un DLL? he visto en algunas ocasiones (resultados de Google) maneras de hacerlo, pero se requiere instalar el Visual Basic, si mal no entendi.. Un Saludo!!
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 12:58
| ||||
| ||||
| Re: Que tan segura es una Session? Cita:
Iniciado por messer  Muy bien u_goldman, mas o menos por ahi va la cosa, me preocupa porque no es datos de un ususario x en particular sin del usuario de MySQL que en este caso es el motor con el que estoy trabajando.  Por fin ¿son datos del usuario o del usuario de la base de datos?¿Podrías ilustrarnos con un poco de código?
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
18/10/2007, 13:40
| ||||
| ||||
| Re: Que tan segura es una Session? Hola nuevamente u_goldman, Cita: Creo haber aclarado esto en un post anterior Por fin ¿son datos del usuario o del usuario de la base de datos? Cita: El codigo seria algo como esto:
Iniciado por messer Perdon, no es la conexion lo que almaceno en las Session, sino el usuario y la clave del Servidor de Bases de Datos.. Saludos!
Código:
y en paginas posteriores pues utilizar:<%
...
Session("usuarioBD")="nombreusuario"
Session("claveBD")="Clave"
...
%>
Código:
P.D.Cnn.Open "Driver={MySQL ODBC 3.51 Driver}; Server=Server; Database=Database; UID="&Session("usuarioDB")&"; PWD="&Session("claveDB")&";"
Creo que hay otras maneras de expresar la inconformidad. Saludos!! 
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 13:50
| ||||
| ||||
| Re: Que tan segura es una Session?  Cielos, si no me inconformé en ningún momento...solo que es precisamente a lo que me refería desde el inicio...más allá de si es seguro o no, es innecesario, a menos que tus usuarios tengan distintos permisos sobre la base de datos ¿Es así? porque de lo contrario esos datos de conexión en algún momento están en tu código, por lo menos yo no le veo ninguna ventaja en cuanto a seguridad ni performance si los guardas en sesión. ¿No sería mejor como ya comentamos, hacer un cifrado de ellos y dejarlo en algún lado accesible a toda la aplicación? Pero con esto solamente estarías "protegido" si alguien tiene acceso al código fuente, es esto lo que necesitas? Lo pergunto antes de irnos hasta la cocina y crear -potencialmente- más confusión. Saludos
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
18/10/2007, 14:23
| ||||
| ||||
| Re: Que tan segura es una Session? Tienes toda la razon, entonces deberia mejor guardar la conexion en el global.asa? Que me recomiendas? A proposito, no me aclaraste lo de las DLL..  Saludos nuevamente
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 14:32
| ||||
| ||||
| Re: Que tan segura es una Session? Cita: Lo que siempre recomiendo es un solo archivo, que contenga dicha conexión, por aquí tratamos un poco el asunto en el primer post casi para terminar, pero que conste que es solo mi opinión.
Iniciado por messer deberia mejor guardar la conexion en el global.asa? Que me recomiendas? Cita:
Iniciado por messer A proposito, no me aclaraste lo de las DLL.. Cita: Si, me refería a un archivo con extensión dll que es código compilado y en el cuál puedes guardar procedimientos y tal...una dll puede ser creada en múltiples lenguajes de programación, para ASP es común crear estos objetos con VB me imagino yo, por su similaridad. Básicamente necesitarías algún compilador que te permitiera crear dll, e investigar un poco acerca de ASP + COM
Iniciado por messer Otra cosa, cuando me hablas de crear una DLL te refieres a un archivo DLL real con extension *.DLL y que al abrir, no se entiende nada del contenido?, si es asi, podiras decirme como crear un DLL? he visto en algunas ocasiones (resultados de Google) maneras de hacerlo, pero se requiere instalar el Visual Basic, si mal no entendi.. Saludos
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
|
18/10/2007, 15:01
| ||||
| ||||
| Re: Que tan segura es una Session? Muchas gracias u_goldman por tu ayuda, voy a investigar mas respecto a las DLL.. Un Saludo!!
__________________ <script type="text/messerScript"><!-- window.onload=function(){ loadMesserRules(this.href) } --></script> |
|
18/10/2007, 15:03
| ||||
| ||||
| Re: Que tan segura es una Session? De nadas 
__________________ "El hombre que ha empezado a vivir seriamente por dentro, empieza a vivir más sencillamente por fuera." -- Ernest Hemingway |
