seguridad al limite

ToKaTa · #1 (**permalink**) 28/01/2003, 05:35

hola a todos,

debo realizar un web que va a manejar una base de datos que es muy importante, o sea, que los datos deben estar protegidos al maximo

...

me gustaria saber si podeis aportar todas las ideas de seguridad que se os ocurra: como validar usuarios, como crear las paginas, que no hacer, que hacer.....vamos....todo lo que podais decirme sera utilizado....que no me quiero arriegar a dejar nada suelto....

Muchas gracias a todos..

ToKaTa.

P.D.: Para todo el site como supondreis utilizare ASP, y en funcion de las sugerencias que me deis, access o SQL Server....

ToKaTa · #2 (**permalink**) 30/01/2003, 11:35

bueno, ya que nadie se decide a ayudarme con esa pregunta, intentare conseguir ayuda de otra forma...

A ver, que opinais de este script, es seguro??

El script que relaiza la validacion es asi:

Código:

<%
	usuario = Replace(Request.form("usuario"),"'","")
	contrasegna = Replace(Request.form("contrasegna"),"'","")
	
	Set conexion = CreateObject("ADODB.Connection")
	conexion.ConnectionString = "miDSN"
	conexion.open
	
	Set rs = CreateObject("ADODB.Recordset")
	rs.CursorType = 3
	rs.LockType = 2
	
	sql = "select id from T_ControlAccesos where usuario='" & usuario & "' and contrasegna='" & contrasegna & "'"

	rs.open sql, conexion	
%>

<% 
	if (rs.RecordCount > 0) then 		
		Session("idAdmin") = CStr(rs.fields("id"))
		Session("entrada") = "1"
		conexion.close		
		response.redirect "continuar.asp"
	else
		Session("entrada") = ""	
		conexion.close
		response.redirect "index.asp"
	end if
%>

y despues, en cada una de mis paginas pongo lo siguiente al principio del todo:

Código:

<%
	if (Session("entrada") <> "1") then		
		response.redirect "error.asp"
	end if
%>

Veis algun problema de seguridad???

Gracias...

ToKaTa.

bakanzipp · #3 (**permalink**) 30/01/2003, 15:18

cambiaria una cosa y agregaria otra

Código:

usuario = Replace(Request.form("usuario"),"'","''")

en el encabezado de todas tus paginas

Código:

<%
Response.addHeader "pragma", "no-cache"
Response.CacheControl = "Private"
Response.Expires = 0
%>

urjose · #4 (**permalink**) 30/01/2003, 16:02

Es mas facil que te roben info crackeando el servidor que por programación, aquí lo unico que puedes validar es que no ingresen SQL en los textbox y ya.

ToKaTa · #5 (**permalink**) 31/01/2003, 03:39

hola de nuevo!

bakanzipp, para que sirve:

Response.CacheControl = "Private"

normalmente uso el no-cache, pero para que srive el private?

urjose, lo que quieres decir es que tomando las medidas logicas de seguridad (por ejemplo el script que puse antes) es mas probable que me crackeen el servidor que me entren por programacion?

Gracias a los dos por vuestra ayuda!

ToKaTa.

bakanzipp · #6 (**permalink**) 31/01/2003, 17:39

Cita:

bakanzipp, para que sirve:
Response.CacheControl = "Private"

La línea CacheControl = Private evita el almacenamiento de tu pagina cuando se manejan proxy.

la seguridad es muy amplia...desde encriptacion de los datos que viajen entre tus paginas...

la seguridad de redes...usar un servidor web que este publicado por internet (puerto http o https) y tu servidor de base de datos en una red interna donde solo tenga acceso algunas maquinas especificas (entre ellas el servidor web) y no cualquier any como sucede con el servidor web...

traspaso de tus sql a componentes de negocio (dll's) para el manejo de tus sql's y puntos criticos que no deseas que sean visibles en tu pagina asp...

etc..etc...etc...es demasiado amplio

ToKaTa · #7 (**permalink**) 01/02/2003, 09:01

y me podrias recomendar algun enlace que trate el tema bien, a fondo, y tocando muchos puntos?

Gracias..

ToKaTa.

bakanzipp · #8 (**permalink**) 09/02/2003, 21:13

como inicio te recomiendo que lea esto de seguridad.

seguridad

criptografia

Transacciones Seguras

De ahi tienes harto ke ver.

saludos,

ToKaTa · #9 (**permalink**) 10/02/2003, 10:07

muchas gracias colega!

ToKaTa.