Seguridad en sistema de login

#1 (**permalink**) 18/06/2011, 12:55

Hola miembros del FDW

Hace ya tiempo de mi ultimo tema de este foro, y es que no he tenido dudas al respecto, ahora que vuelvo he notado grandes cambios y he visto muchas mejoras, pero sigo extrañando la apariencia anterior del foro.

Bien, en este caso os vengo a hablar de la seguridad dentro de un sistema de login, me ha surgido un proyecto donde me piden como minimo 13 capas de seguridad a la hora de hacer el login (registro y logueo).

El problema surge ahora, yo conosco solo algunas formas de invadir mi seguridad pero no llegan a ser 13, he contemplado las siguientes

Crossfire (XSS)
Inyeccion SQL
Encripcacion (ya sea md5 o base64)
Sessiones multiples

Bien, solo son estas las que se me ocurrieron, todos estos metodos de seguridad deben ser escritos en php, y debe ser instantanea su ejecucion, debe ser por completo codigo propio y desde starup

Bien les agradeceria sugerencias sobre que otras formas de seguridad en php en este sistema que podria implementar

De antemano gracias, y si el tema no pertenece a este foro favor de moverlo al adecuado (revise el foro de seguridad y redes y no me parecio lo ideal para este tema)

Un saludo y que tengan un buen fin de semana!

skiper0125 · #2 (**permalink**) 18/06/2011, 14:06

Hola que tal danneg.

Dentro del foro puedes encontrar una serie de aspectos de seguridad al momento de iniciar sesion.

Te dejo algunos tema y busca los demas

notificacion

sistema de usuarios

anti spam

gestion de usuarios bit a bit

historial de acciones

Espero haberte ayudado

Saludos

abimaelrc · #3 (**permalink**) 18/06/2011, 14:23

Lo mejor es que mires los frameworks como trabajan la seguridad. Por ejemplo mira zend_auth y lo que ellos hagan eso es lo que debes hacer, tambien mira zend_acl para los permisos. Si ellos no hacen 13 capas de seguridad y solo hace por ejemplo 6 con eso debe ser suficiente, ya que es un framework que lo trabajan varias personas con experiencia y lo prueban miles, miles, miles y miles e informan problemas, bugs, problemas de seguridad, etc.

Para la base de datos lo mejor es que uses por ejemplo PDO y usa bindValue o bindParam para evitar inyeccion SQL.

#4 (**permalink**) 18/06/2011, 14:38

Muchas gracias, por ahora van las siguientes capas

Crossfire (XSS)
Inyeccion SQL
Encripcacion (ya sea md5 o base64)
Sessiones multiples
Notificacion por email a la hora del logueo
Identificacion por IP de la computadora donde se genero la session
Gestion de usuarios bit a bit**
Log de acciones
Captcha
Captcha por interno del sistma (rellenado en tiempo real por el sistema)
Incluir caracteres especiales en las contraseñas ( #"$%&=?¡¿!°¬|... etc)

Quien gusta aportar mas sugerencias?

Terminado el sistema lo publicare!

De nuevo gracias por el aporte

#5 (**permalink**) 18/06/2011, 14:40

Pues este proyecto es una especie de tesis, y pues eso es lo que me pidieron, 13 capas de seguridad, solo php, solo mysql

Tengo muchas opciones utilizando js, apache y demas, pero solo me limitan a eso, igual revisare aquellos codigos, gracias

(No puedo colgarme de ningun codigo que no sea mio, por eso no pedi ayuda para desarrollarlo ;) )

abimaelrc · #6 (**permalink**) 18/06/2011, 14:43

La idea es mirar lo que hace no copiar y pegar. Ese es un metodo de aprendizaje.

#7 (**permalink**) 18/06/2011, 14:52

Claro!.. seria aprendder los proseso solamente e implementarlos a mi estilo :D