Foros del Web » Programando para Internet » PHP »

Seguridad sistema autentificacion usuario.

Estas en el tema de Seguridad sistema autentificacion usuario. en el foro de PHP en Foros del Web. Hola a todos, he creado un sisitema de autentificacion de usuarios y queria saber que opinan de la seguridad que ofrece... Pagina index.php Envio por ...
  #1 (permalink)  
Antiguo 09/02/2010, 09:25
 
Fecha de Ingreso: noviembre-2009
Mensajes: 846
Antigüedad: 14 años, 8 meses
Puntos: 34
Seguridad sistema autentificacion usuario.

Hola a todos, he creado un sisitema de autentificacion de usuarios y queria saber que opinan de la seguridad que ofrece...

Pagina index.php
Envio por POST la contraseña a control.php

Control.php
Código PHP:
Ver original
  1. <?php
  2. switch (md5($_POST["pass"])){
  3.    case "cbfad6f62b7588596261545e865cd980":
  4.      session_start();
  5.      $_SESSION["nom"]="sara";
  6.      header("Location: panel.php");
  7.    break;
  8.    case "254289217f69e7288185528730643f65":
  9.      session_start();
  10.      $_SESSION["nom"]="mario";
  11.      header("Location: panel.php");
  12.    break;
  13.    default:
  14.      header("Location: index.php?error=yes");
  15. }
  16. ?>

Cita:
La pagina solo va a tener dos usuarios (mario y sara) por eso de session nom
Panel.php
Antes del codigo esta incrustado esto:
Código PHP:
Ver original
  1. <?php
  2. if (($_SESSION["nom"] != "sara") && ($_SESSION["nom"] != "mario")){
  3.   header("Location: index.php?zona=yes");
  4.   exit();
  5. }
  6. ?>
Cita:
Y luego en la pagina exit.php (a la q se accede desde un boton "Salir" en panel.php
Exit.php
Código PHP:
Ver original
  1. <?php
  2. header("Location: index.php");
  3. ?>

-------------------------------------------------------------------
Gracias a todos...
  #2 (permalink)  
Antiguo 09/02/2010, 09:42
Colaborador
 
Fecha de Ingreso: octubre-2009
Ubicación: Tokyo - Japan !
Mensajes: 3.867
Antigüedad: 14 años, 8 meses
Puntos: 334
Respuesta: Seguridad sistema autentificacion usuario.

esta bien... si no usas sql para los usuarios no debes preocuparte por las injection ni nada de eso asi que con eso deberia bastar
__________________
More about me...
~ @rhyudek1
~ Github
  #3 (permalink)  
Antiguo 09/02/2010, 13:14
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 15 años, 11 meses
Puntos: 2237
Respuesta: Seguridad sistema autentificacion usuario.

Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir:

Código PHP:
Ver original
  1. if($_POST['nombre'] == 'mario' && md5($contrase&#241;a) = 'md5-de-contraseña-de-mario') {
  2.      // Aqui inicias la sesion de mario y rediriges
  3. } else if( verificacion de datos de sara) {
  4.       // Aqui inicias la sesion de sara y rediriges
  5. } else {
  6.       // Aqui rediriges a pagina de error
  7. }
__________________
- León, Guanajuato
- GV-Foto
  #4 (permalink)  
Antiguo 09/02/2010, 13:43
Avatar de morior  
Fecha de Ingreso: agosto-2009
Ubicación: Barcelona
Mensajes: 437
Antigüedad: 14 años, 11 meses
Puntos: 12
Respuesta: Seguridad sistema autentificacion usuario.

Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario.
__________________
Juego de navegador online
  #5 (permalink)  
Antiguo 09/02/2010, 14:51
Avatar de david_M_G  
Fecha de Ingreso: febrero-2005
Mensajes: 938
Antigüedad: 19 años, 5 meses
Puntos: 20
Respuesta: Seguridad sistema autentificacion usuario.

¿Y para qué quieres usar MD5 en este caso? Ahí no te hace nada. La contraseña la estás pasando vía "POST" tal cual es (no cifrada), que es donde está el riesgo.

Quiero decir que el riesgo está en el viaje de esa contraseña, mientras se tramita la información, o el lugar donde se almacena (como podría ser la base de datos). En tu caso, la estás cifrando y comparando en el mismo lugar, que por cierto es ya seguro (nadie accederá al contenido del .php)

Es lo mismo:
Código:
if ($contra == 12345)
Que:
Código:
if(cifrar($contra) == cifrar(12345))
Vamos, que no es que sea un error, pero no sirve absolutamente de nada por si lo pensabas. (Y si me equivoco que me corrija alguien)
La MD5 viene bien tenerla cifrada por ejemplo si la almacenas en SESSION o en una COOKIE, que son datos a los que el usuario puede acceder.

Suerte
  #6 (permalink)  
Antiguo 09/02/2010, 14:57
Colaborador
 
Fecha de Ingreso: octubre-2009
Ubicación: Tokyo - Japan !
Mensajes: 3.867
Antigüedad: 14 años, 8 meses
Puntos: 334
Respuesta: Seguridad sistema autentificacion usuario.

por eso mismo yo tambien dije que daba lo mismo si no interactuaba con sql =)
__________________
More about me...
~ @rhyudek1
~ Github
  #7 (permalink)  
Antiguo 09/02/2010, 17:33
 
Fecha de Ingreso: noviembre-2009
Mensajes: 846
Antigüedad: 14 años, 8 meses
Puntos: 34
Respuesta: Seguridad sistema autentificacion usuario.

Cita:
Iniciado por Triby Ver Mensaje
Solo agregaria un poco mas de seguridad comparando nombre y clave, es decir:

Código PHP:
Ver original
  1. if($_POST['nombre'] == 'mario' && md5($contraseña) = 'md5-de-contraseña-de-mario') {
  2.       // Aqui inicias la sesion de mario y rediriges
  3. } else if( verificacion de datos de sara) {
  4.       // Aqui inicias la sesion de sara y rediriges
  5. } else {
  6.       // Aqui rediriges a pagina de error
  7. }
De momento solo quiero que sea una contraseña, sin nombres de usuarios ni nada.
Cita:
Iniciado por morior Ver Mensaje
Eso te funciona? lo has probado?? lo digo porque el session_start(); no lo tienes al principio de todo. Sólo un comentario.
Si, me funciona perfecto. session_start lo incluyo al principio de todas las paginas.

------------------------------------
Muchas gracias a todos.
Proximamente (si amplio este sistema) los usuarios vendras de una base de datos...

Etiquetas: seguridad, sitemap, autenticacion, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:50.