No dejar enviar datos a los archivos de mi web desde páginas externas

iEnrique · #1 (**permalink**) 05/09/2014, 06:45

Hola,

en realidad este es un problema que se ha tratado anteriormente pero no me queda claro cual es la forma más segura.

Había pensado en hacerlo de forma que las páginas con los formularios tengan un token que cambia cada vez que actualizas y compararlo con el que tenga en una cookie que estaría en MD5 para que no se sepan el de la sesión.

Bueno, me gustaría que contasen sus experiencias con sus webs u otros ejemplos que hayan visto y que les parezcan totalmente seguros.

¡Un saludo!

pateketrueke · #2 (**permalink**) 05/09/2014, 07:15

Cita:

Había pensado en hacerlo de forma que las páginas con los formularios tengan un token que cambia cada vez que actualizas y compararlo con el que tenga en una cookie que estaría en MD5 para que no se sepan el de la sesión.

A esa técnica se le conoce como CSRF.

iEnrique · #3 (**permalink**) 05/09/2014, 13:03

Cita:

Iniciado por pateketrueke

A esa técnica se le conoce como CSRF.

Pero, ¿esa técnica CSRF tiene algún inconveniente?

julslash · #4 (**permalink**) 05/09/2014, 13:16

Tienes que hacer tu web modular de esa manera guardas siempre esa clave en el header al loguearte

#5 (**permalink**) 05/09/2014, 15:52

Lo mas usual y recomendable es que apliques un filtro CSRF a tus formularios, esto lo puedes lograr generando un código token dinámico y encriptado el cual debes agregar a tu formulario para que sea enviado y luego de enviado validas que el código token este presente.

Saludos...

iEnrique · #6 (**permalink**) 09/09/2014, 10:14

La verdad es que no me gustaría dejar rastro en los formularios para que no se vea, ¿de la forma que he propuesto yo con las cookies y las sesiones que es un poco más discreto?

iEnrique · #7 (**permalink**) 10/09/2014, 02:58

Siento el doble post pero vengo a proponer algo y es el siguiente código que me he inventado:

Código PHP:

Ver original<?php 
session_start();
if(isset($_SESSION["csrf"]) && isset($_COOKIE["csrf"])){
     if(md5($_SESSION["csrf"]) == $_COOKIE["csrf"]){
          unset($_SESSION["csrf"]);
          setcookie("csrf", "", time() - 1);
          $_SESSION["csrf"] = "xxxxx"; //Cada uno de los "x" será un rand(1, 9)
          setcookie ("csrf", md5("xxxxx"), time() + 86400); //Cada uno de los "x" será un rand(1, 9)
          //Pongo que la cookie dure un día, no creo que alguien esté 24h sin hacer ningún cambio y si lo está, le enviará a la página de error.
     }else{
          unset($_SESSION["csrf"]);
          setcookie("csrf", "", time() - 1);
          $_SESSION["csrf"] = "xxxxx";
          setcookie("csrf", md5("xxxxx"), time() + 86400);
          header("Location: error.php");
     }
}else{
     unset($_SESSION["csrf"]);
     setcookie("csrf", "", time() - 1);
     $_SESSION["csrf"] = "xxxxx";
     setcookie("csrf", md5("xxxxx"), time() + 86400);
     header("Location: error.php");
}

¿Este serviría y sería totalmente seguro?

Muchas gracias