Seguridad login con Cookies y API

_vincen_ · #1 (**permalink**) 27/10/2014, 08:38

Buenas!

Vengo a ver si me podéis resolver una duda respecto a la seguridad de la cookie :D

Estoy trabajando con la API "PEPITO" para hacer login mediante la API de esa web

El usuario si esta logueado en pepito.com, mediante la API puede hacer login en otras webs que lo permitan.

Si el usuario le da a un boton para hacer login mediante PEPITO, este boton le rederige a pepito.com/auth, si el usuario le da a continuar/permitir, pepito.com/auth envia a miweb.com sus datos, como por ejemplo su IDUSUARIO.

Yo con esa IDUSUARIO compruebo si el usuario ya existe en la db, si no existe creamos el usuario y si existe pues directamente pasamos a hacer login.

Y aquí viene mi duda referente a la seguridad de esa cookie.

¿Como hago para que la cookie no se pueda manipular/robar e iniciar sesión con otro usuario?

Tenia pensado hacer lo siguiente:

Generaramos un TOKEN cifrado al azar
Guardar el token en la base de datos IDUSUARIO -> TOKEN
Guardar en la cookie, su ID usuario y el TOKEN

Después en algunas paginas comprobar si el usuario esta logueado:

Compruebo si $_COOKIE['IDUSUARIO'] existe en la base de datos
si existe paso a comprobar si tiene el mismo token

"$_COOKIE['token'] es igual al 'token' de $_COOKIE['IDUSUARIO'] en la base de datos ?"

Bien, aqui el punto 1 de modificar la cookie para entrar con otro usuario se soluciona, no?

Pero si da el caso de que al usuario le roban la cookie?
Podría hacer login solamente con la cookie, como soluciono esto?

Espero haberme explicado mas o menos bien

loncho_rojas · #2 (**permalink**) 27/10/2014, 08:49

No es más efectiva la funcion $_SESSION ?

_vincen_ · #3 (**permalink**) 27/10/2014, 09:16

Cita:

Iniciado por loncho_rojas

No es más efectiva la funcion $_SESSION ?

Es la que usaba antes, pero tiene muy poca duración de vida y al reiniciar el navegador, la sesión se destruye.
También me ahorro guardar cosas en el servidor, para que no se sature cuando haya mucha gente.
A parte de que me es muy incomodo a la hora de trabajar con la base de datos, si inicio sesión en la pagina web, me cierra sesión en el phpmyadmin, parece que solo pueda haber 1 sesión por usuario o algo así.

Quiero usar cookies, por el tema de la duración de ellas, no quiero que mis visitantes tengan que estar haciendo login cada 30 minutos de inactividad y tambien como he dicho, quitar carga al servidor.

loncho_rojas · #4 (**permalink**) 27/10/2014, 10:09

Pues si cada 30 min muere una variable de $_SESSION algo no está bien. Lo normal es que muera la Cookie, hay métodos para mantener una SESSION activa... revisa esto

_vincen_ · #5 (**permalink**) 27/10/2014, 11:13

Cita:

Iniciado por loncho_rojas

Pues si cada 30 min muere una variable de $_SESSION algo no está bien. Lo normal es que muera la Cookie, hay métodos para mantener una SESSION activa... revisa [URL="http://www.grabthiscode.com/programacion/como-hacer-un-registro-y-login-php-con-sesiones-y-cookies/"]esto[/URL]

He revisado lo que me has pasado, este el codigo:

Código PHP:

  function login ($user,$pass,$recordarme) 
{ 
    $user = mysql_escape_string($user); 
    $pass = mysql_escape_string($pass); 
     
    if(strlen($user)<4 || strlen($pass)<4) return -3; 
     
    global $salt; 
    $pass = sha1($salt.md5($pass)); 
     
    $conexion=mysql_connect("localhost","root","pass",false); 
    $bd = mysql_select_db("login",$conexion); 
    mysql_query("SET NAMES 'utf8'"); 
     
    $sql = "select idUsuario from usuario where UPPER(login)='".strtoupper($user)."' and pass='".$pass."'"; 
    $result = mysql_query($sql,$conexion); 
    if(mysql_affected_rows()<=0 || !$result) return -1; //user repetido 
 
////////////////////////////////////////////////////////////////////////////// 
///////////////////////////////////////////////////////////////////////////// 
 
// Aqui, hace lo que yo hacia con $_SESSION, y si quieres que dure más tiempo hay un if para crear la cookie  
 
 
     
    $row = mysql_fetch_array($result); 
    $idUsuario = $row['idUsuario']; 
    $_SESSION['usuario']=$idUsuario; 
     
    if($recordarme){ 
        global $saltCookie; 
 
        $cookie = sha1($saltCookie.md5($idUsuario.date("Y-d-m h:i:s"))); 
 
        $sql2 = "update usuario set cookie='".$cookie."',validez=DATE_ADD(now(),INTERVAL 6 MINUTE) where `idUsuario`='".$idUsuario."'"; 
        $result2 = mysql_query($sql2,$conexion); 
 
        setCookie("identificado",$cookie,time()+360,'/'); //cookie 6min 
    } 
    $_SESSION['usuario']=$idUsuario; 
     
    return true; 
}

Hace exactamente lo que quiero hacer yo, para que dure más la sesión hace uso de cookies. Ahí si no me equivoco no hay nada de alargar el tiempo de $_SESSION.

Encripta un par de campos y ya esta, pero si se copia la cookie a otro pc por lo que veo no tiene seguridad y estarias logueado en la web.

loncho_rojas · #6 (**permalink**) 27/10/2014, 13:05

Pues esa respuesta que tú planteas es el problema de las Cookies mismas.. Quiero un auto a Diesel, pero me gustaría que no contamine.. uff... a eso voy. A menos que pienses de qué manera puede evitar que se roben las cookies.. además deberías averiguar cómo se roban Cookies, así te pones más tranquilo o más alerta... pero la cookie se almacena en la PC de una persona y a partir de ahi, ya pierdes el control.

Alguna vez se me ha ocurrido poner una pregunta tipo... MES y AÑO de nacimiento.. asi, al recuperar la Cookie el usuario deberá validar ese dato antes de loguearlo de vuelta.. el resultado fue excelente procedimentalmente hablando, pero mis usuarios dejaron de usar mi web XD

_vincen_ · #7 (**permalink**) 27/10/2014, 14:51

Cita:

Iniciado por loncho_rojas

Pues esa respuesta que tú planteas es el problema de las Cookies mismas.. Quiero un auto a Diesel, pero me gustaría que no contamine.. uff... a eso voy. A menos que pienses de qué manera puede evitar que se roben las cookies.. además deberías averiguar cómo se roban Cookies, así te pones más tranquilo o más alerta... pero la cookie se almacena en la PC de una persona y a partir de ahi, ya pierdes el control.

Alguna vez se me ha ocurrido poner una pregunta tipo... MES y AÑO de nacimiento.. asi, al recuperar la Cookie el usuario deberá validar ese dato antes de loguearlo de vuelta.. el resultado fue excelente procedimentalmente hablando, pero mis usuarios dejaron de usar mi web XD

Hmm, pues se me ha ocurrido una cosa.. a ver que opinas..

Al hacer login..

Creo un token único con la ip del usuario

Código PHP:

Ver original$idusuario = $_POST['userid']; // "id" única de 17 caracteres y limpiada previamente :)
$semillaip = $_SERVER['HTTP_X_FORWARDED_FOR'];
$token = md5($semillaip.$idusuario);
setCookie("token",$token,time()+604800,'/'); //cookie 7 dias
setCookie("idusuario",$idusuario,time()+604800,'/'); //cookie 7 dias
 
 
 
//Ahora para comprobar si el usuario esta logueado, hago lo siguiente:
 
 
 
$idusuariocookie = $_COOKIE[idusuario'];
$semillaipcookie = $_SERVER['HTTP_X_FORWARDED_FOR'];
$token = md5($semillaipcookie.$idusuariocookie);
 
 
//Ahora comparo el token guardado en la base de datos (se guardó cuando el usuario hizo login) con el token generado ahora mismo.
 
//Si coincide = estas logueado, y mostramos contenido
//Si no coincide = si no estas logueado te llevo a logout.php y destruimos sesion y cookie

Como lo ves? El cambio de ip puede cambiar cada 1 semana o cada 6 meses y con esto aumento la seguridad, verdad?