Ayuda/Opinion sobre seguridad en mi aplicacion web

allright · #1 (**permalink**) 31/08/2009, 10:32

Buenos dias companeros, tengo la siguiente situacion:
Voy a realizar una aplicacion web en asp.net con vwd2005 para una compania que utiliza
su propia intranet, entonces, la aplicacion se digamos hosteara en el servidor local de dicha compania.
Entonces aqui entra la cuestion, Como auntentificar a los usuarios?
Utilizar la api del .net 2.0 para crear usuarios , roles y todo eso para autentificarlos?
Ya ven que al querer utilizar la administracion que trae incorporado, menciona de 2 formas de autentificar alos usuarios,
dependiendo desde donde accesan a la apliacion web, es decir, desde el internet o desde una red local, me imagino que en mi caso
seria desde una red local verdad?
Pero a la vez necesito informacion de los usuarios para relacionarla con otras tablas, entonces
es mejor manejar los usuarios en tablas creadas por mi en sql server ?
Como ven este tema de la seguridad? que me recomiendan?

Trulala de cordoba · #2 (**permalink**) 31/08/2009, 20:50

Hola.
Mira, personalmente a mi no me gusta mucho el sistema que trae .net 2.0 para el tema de roles y usuarios. Primero que con el tema de los roles tenes que usar la aplicación de net que te crear las tablas. Si bien te ahora mucho tiempo y es rápido de implemente, despues si queres agregar campos, o asociar tablas y eso no es nada facil.
Para mi lo mejor es que vos te armes tu propio sistemita de roles, donde seguramente ya tenes la tabla usuarios, create una tabla roles y una tabla intermedia usuariosPorRoles por ejemplo. Y luego podes armar unos metos para el login del usuario, manejar los permisos etc.

La desventaja es que vas a tener que programar un poco y probarlo bien, pero además te va a servir para otra cosas que hagas.

allright · #3 (**permalink**) 01/09/2009, 07:35

GRacias por tu respuesta, en si, podria utilizar la tabla de users que me crea el api del asp.net,nomas le indico que me la guarde
en mi base de datos existente, si acaso necesito agregar unos 3 camposs,asi como me dices tu, me la pones dificil ya que apenas estoy empezando a
adentrarme en esto de la programacion en web en asp.net
como ves? alguna otra recomendacion? o tutorial?

Trulala de cordoba · #4 (**permalink**) 01/09/2009, 09:10

Bueno, como te decía, lo idea simplemente es crees vos mismo las tablas donde puedas definir que usuario puede ver o no tal página, todo estos datos los tenes en session y cada vez que el usuario intente ingresar a una página preguntas si el permiso que tiene le permite ver la página o no.

Podes ver esta discución en el foro de php que explican la idea:
http://www.forosdelweb.com/f18/roles-php-527419/

Fijate que ahí comenta una persona que la idea es que vos definas una tabla en donde tener un tipo de rol y otra tabla en donde pones las páginas que ese rol puede ver.

Cualqueir cosa avisame.

allright · #5 (**permalink**) 01/09/2009, 10:25

Ya lei el post que me pusiste, entonces, seria tener 3 tablas, la de usuarios, la de roles , y la de paginas que pueden acceder segun el rol? es asi? tendras algun ejemplo?

Y luego ya me entro otra duda, como la aplicacion se va a usar en una intranet privada, la autentificacion por formularios seria la adecuada? porque ya ves que tambien esta la de por windows aunthentication. tengo esa duda, pero pues la idea seria utilizar la autenticacion por forms.

Te decia de usar la api que ya tra el asp.net 2.0 pues porque no se todavia programar mucho codigo, pero dime si estoy mal, creo que la logica seria asi, al registrar usuarios, se les asigna un rol (ejem admin, usuario etc), entonces ese se almacena en tabla de roles, con relacion a la de usuarios para saber cual es, entonces ya a la hora de intentar entrar a alguna pagina se hace la verificacion en la tabla de que paginas puede ver el rol y que rol es , si se autoriza o no.
Y luego para eso necesitaria conocer mas sobre sesiones , para saber como sacar que usuario esta en el sistema en determinado tiempo. no se si me explico.
Mi idea es una masterpage y dependiendo del usuario que se limiten sus hyperlinks en el menu de la masterpage, pero tambien que si intentan poner la direccion de alguna pagina directa arriba pues les diga que esa no es posible por el rol de ellos. Me entendiste?

Trulala de cordoba · #6 (**permalink**) 01/09/2009, 22:22

Hola
Si te entendi. Es cierto que son el api de net te ahorras codigo, pero como te digo, despues si alguna vez tenes que hacer otra cosa te va a costar modificar, además para administrar los roles vas a tener que crear una administración porque la api que trae asp.net para crear roles y usuarios no es segura tenerla en le hosting final o en tu caso en la intranet.

Con respecto a un ejemplo aca hay un tutorial que podes ver de algo similar:
http://geeks.ms/blogs/mrubino/archiv...eprovider.aspx

Fijate que hay una foto que muestra la estructura de la base de datos: roles, usuariosRoles y usuarios.

De usar auntenficación windows no tengo mucha idea, aunque creo que con forms no tendrás problemas.

Con respecto de las sesiones las vas a usar para guardar ahi los datos del usuario cuando se registro, para así preguntar por estos valores cada vez que el usuario intente entrar a una página y tambien saber si el usuario está registrado. Si no sabes usar bien sessiones poder ver este link:
http://msdn.microsoft.com/es-es/libr...8VS.80%29.aspx

Debes tener si en cuenta unas cosas, a lo mejor las sabes pero por las dudas:

-En la base de datos donde tenes las claves de los usuarios, las claves deben estar encriptadas, por si alguien abre la base no pueda ver directamente la clave de los mismo. Si buscas en este foro "encriptar" vas a encontrar material.

- Cuando tengas terminado el sistemita de roles probalo bien para asegurarte que nadie pueda hacer cosas que no deba.

- La cadena de conexion si la tenes en un webconfig encriptal para mayor seguridad, de última podes meterla a la cadena de conexión en clase o en una constante para mayor seguridad.

Suerte!!

allright · #7 (**permalink**) 02/09/2009, 09:20

oye Trulala de cordoba , en el minututorial que me pasaste, se utilizan unas tablas personalizadas, pero aun se sigue utilizando el proveedor de membership y role provider del api del ?
Creare mis propias tablas en sql server las 2 que me faltan la de rol y rolusuario, pero la manera de autentificar a los usuarios es usando los metodos como validate user y todo eso?
me confudi ahi, me puedes aclarar eso? y al final de ese tuto uso los controles de login y create user wizar que no se suponia que se usarian unos propios?
gracias

Trulala de cordoba · #8 (**permalink**) 02/09/2009, 21:38

Hola
Si en ese tutorial usa algo de la api de net, pero te sugiero que hagas algo como en el post de php, crea vos tus propias rutinas, para el login solo debes hacer una función que le envies el nombre de usuario y la clave y te devuela true o false, si el usuario es correcto guardas los datos en variables de session para despues consultarlas y así hace metodos para obtener los datos o guardar datos. Esa es la idea, que vos crees tus propios metodos.

alette666 · #9 (**permalink**) 31/03/2010, 12:16

hola estoy inplementando una pagina web de envio de sms via web, ya tengo el formulario, tengo tambien las operadoras en un *.php; pero resulta que le quiero poner un captcha para que tenga mas seguridad, (si me entiendo) lo que quiero hacer es que por medio del captcha se verifique los datos de la imagen y que si es ingresado correcto me envie el sms al celular, y si es incorrecto que salga este mensaje: !!CODIGO INCORRECTO, DIGITE NUEVAMENTE!!
asi tipo www.claro.com.ar