elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Lógica "Cambiar contraseña"
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Lógica "Cambiar contraseña"  (Leído 7,771 veces)
@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.399


Turn off the red ligth


Ver Perfil WWW
Re: Lógica "Cambiar contraseña"
« Respuesta #10 en: 24 Noviembre 2020, 17:47 pm »

Ten cuidado con los IDOR. Son bastante comunes en este tipo de funcionalidad.

Verifica que el usuario que está cambiando la contraseña esté cambiando la de su cuenta.

También deberías pedir confirmación por correo una vez se han realizado los pasos planteados. Mandas un enlace válido durante 15 mins para que pinche el usuario. Mete captcha si quieres más seguridad contra brute force.

Es también buena práctica evitar user/email enumeration.

Evita utilizar GET (te quita de 3 o 4 fallos de seguridad)

Asegúrate que la página es HTTPS.

Evita clickjacking y cors en esa página.

Comprueba que la sesión no esté expirada.


En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

Kyrie Eleison

Desconectado Desconectado

Mensajes: 59


Ver Perfil
Re: Lógica "Cambiar contraseña"
« Respuesta #11 en: 24 Noviembre 2020, 18:05 pm »

Repito por si no me han leido. (Que parece que no)

En un entorno de PC propio casero tú eres el dueño. Tu haces y deshaces contraseñas y nadie te dice nada.

En un entorno empresarial o corporativo en el que tú NO ERES dueño del PC ni del software que utilizas ni... de nada de nada. El dueño es... efectivamente lo has acertado: ¡EL JEFE O EMPRESA!

Y puede hacer o deshacer, decir que programas puedes usar y cuales no y cambiarte o ponerte contraseñas y decir como y cuando puedes usarlas y para hacer según qué cosas. Porque SON SUS MAQUINAS Y SUS SISTEMAS, y decide como y cuando y por quien se pueden utilizar. Como el dueño de una fábrica decide qué operarios pueden utilizar y en qué condiciones la excavadora, la taladradora o la soldadora de perfiles IL de autos.

Y en ese entorno, la empresa o sea el jefe o su administrador de sistemas... puede imponerte las contraseñas que quiera, cuando quiera, como quiera, e impedirte que las cambies tu a tu conveniencia.

Y por supuesto que es legal. Es completamente legal que el dueño de los medios de producción decida cómo, cuando, por quién y en qué condiciones pueden ser utilizados aquellos.



« Última modificación: 24 Noviembre 2020, 19:01 pm por Kyrie Eleison » En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Lógica "Cambiar contraseña"
« Respuesta #12 en: 24 Noviembre 2020, 19:43 pm »

Citar
Y por supuesto que es legal. Es completamente legal que el dueño de los medios de producción decida cómo, cuando, por quién y en qué condiciones pueden ser utilizados aquellos.

El caso es que el compañero es el que esta desarrollando el entorno. Esto no es un entorno empresarial, es un entorno en desarrollo y el tiene la protestad de decidir que, porque, donde y cuando, no le están imponiendo ninguna condición, si no, ya la habría mencionado.

Que una empresa decida lo que hacer con la información no implica que sea legal o que sea buena practica. No toda la información que almacena una empresa se trata de la misma forma, hay datos amparados por ley que pueden ser protegidos tanto por el cliente como por el trabajador. E incluso fuera del ámbito de datos privados, hay normas mínimas sobre almacenamiento de información y cifrado. Esto es un foro de seguridad, aquí se trata de mejor la seguridad, no de cumplir con las expectativas de un jefe "ignorante".


https://www.boe.es/buscar/act.php?id=BOE-A-2008-979#a93

Saludos
« Última modificación: 24 Noviembre 2020, 20:14 pm por #!drvy » En línea

Kyrie Eleison

Desconectado Desconectado

Mensajes: 59


Ver Perfil
Re: Lógica "Cambiar contraseña"
« Respuesta #13 en: 24 Noviembre 2020, 20:41 pm »

Por supuesto que el compañero decide cual es su entorno y que nivel de seguridad quiere poner.

Pero supongo que desea programar algo que se aproxime a la realidad lo más posible. Y por eso le he dado mi opinión de cómo yo pienso que se suelen hacer las cosas lo mejor posible. No como una exigencia o una pega a su trabajo sino como una forma de mejorarla y acercarla lo más posible a lo que se hace en la realidad.

Respecto a lo que sea una buena práctica, o sea legal, o sea moral... No sé. Ya he puesto el ejemplo de que es ALGO QUE SE HACE HACE EN ESTE MISMO FORO.

Si te molestas en releerme verás que he puesto el ejemplo de cómo en este foro para cambiar tu propia contraseña en Perfil ---> Configuración de cuenta...
... ¡vosotros mismos exigís!... otra vez la contraseña... y por tanto... exigís un usuario autorizado para poder cambiar contraseña...

Y que éso que exigís no es nada más que la implementación de lo que yo había llamado paso 0 unido (pero previo) al paso 3 del compañero que solicitaba opiniones.

Ahora si te parece que esa exigencia de seguridad tan simple y que vosotros mismos exigís sea inmoral, amoral, no legal, etc etc... pues tú mismo, no sé entonces que haces colaborando como moderador en un sitio que practica esas conductas tan poco éticas o morales o legales (según tú).

No sé porqué has llevado este post a este punto cuando solamente se trataba de dar una opinión para mejorar.

Es más tú mismo has dicho (sic): Esto es un foro de seguridad, aquí se trata de mejor la seguridad, no de cumplir con las expectativas de un jefe "ignorante".

¿Y no te parece que, independientemente de quién sea el jefe, se mejora la seguridad de una aplicación proponiendo que para cambiar la contraseña de un usuario PRIMERO se comprube la potestad del usuario para cambiarla, antes de proseguir con el programa? Aunque sólo sea para ahorrar tiempo de ejecución: ¿para qué tomarse la molestia de hacer inputs de contraseña y repetición ANTES de saber si el usuario está capacitado para hacer el cambio? ¿y no al revés?
Primero:paso 0 ¿puede el usuario cambiar la contraseña? SI ---> procédase a petición/verificación de nuevas contraseñas /// NO ----> usuario a tomar x saco. ¿Tan descabellada te parece la propuesta que he hecho?

Porque si te molestas en releerme desde el principio... de eso es de lo que iba mi (intento de) contribución.
En línea

#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Lógica "Cambiar contraseña"
« Respuesta #14 en: 24 Noviembre 2020, 21:39 pm »

Citar
Porque si te molestas en releerme desde el principio... de eso es de lo que iba mi (intento de) contribución.

Pues bien, vamos a tu primer post en este tema.


Paso 0. ---> ¿El usuario tiene permisos/credenciales para cambiar la contraseña? Si es que SI ---> IR a paso 1. Si es que NO ---> se le echa fuera.

Un usuario -en general- no tiene porqué tener permisos para cambiar su propia contraseña. A veces es el administrador quien se la da, e incluso se la cambia cada cierto tiempo. Si; sé que es un poco tiquismiquis para redes/sistemas más o menos personales/domésticos, pero en entornos empresariales/corporativos es bastante normal que el usuario/operador de un terminal-PC no tenga privilegios de administrador para cambiar su propia contraseña (o instalar programas o compartir archivos, etc).

Ahí no estás hablando de una contraseña actual, estás hablando de permisos para cambiar su propia contraseña y mencionas como en X entornos es bastante normal (según tú) que el terminal no tenga privilegios para cambiar su propia contraseña. ¿Si o no? Tambien mencionas lo de obligarlo a introducir la contraseña actual, después, es un posdata.

Yo te indique, que el hecho de introducir la contraseña antigua, el compañero ya lo tenía contemplado, tal y como se puede apreciar en el primer post de este tema. Y también hice referencia al tema de los permisos, sobre el cual, di mi opinion:

@Kyrle Eleison, eso ya lo tiene contemplado. Si te fijas, su punto 3 es "Input para pedir contraseña actual".

Otra cosa es lo que has comentado anteriormente de que el usuario debe tener permisos para editar su propia contraseña. A mi esto me parece un error. No se debe impedir cambiar la contraseña. El usuario debe poder introducir y/o cambiar su propia contraseña en cualquier momento. No se me ocurre ningún caso donde sea beneficioso limitar esa capacidad y se me ocurren unos cuantos donde es perjudicial y hasta ilegal.

Saludos

¿Si o no?


Entonces, quizás, deja de estar tan a la defensiva y separa una cosa de otra, pues son dos cosas bien distintas.



Citar
¿Y no te parece que, independientemente de quién sea el jefe, se mejora la seguridad de una aplicación proponiendo que para cambiar la contraseña de un usuario PRIMERO se comprube la potestad del usuario para cambiarla, antes de proseguir con el programa? Aunque sólo sea para ahorrar tiempo de ejecución: ¿para qué tomarse la molestia de hacer inputs de contraseña y repetición ANTES de saber si el usuario está capacitado para hacer el cambio? ¿y no al revés?

Porque en un POST (véase petición HTTP), los datos se envian a la vez, no se envian por separado. Porque en cualquier aplicación moderna, la lógica se puede separar y es independiente de la presentación. En este mismo foro, como has mencionado, tienes el ejemplo.


Citar
No sé porqué has llevado este post a este punto cuando solamente se trataba de dar una opinión para mejorar.

Me parece genial que tengas una opinión y tal y cuál pascual. Pero esto es un foro y aquí estamos para debatir y para que todos expresemos nuestras opiniones. Tú das tu opinión, yo doy la mía, que puede contradecir la tuya, tú puedes exponer razones o contradecir la mía y así va el proceso. Vamos, lo que es un foro de toda la vida =)

Saludos
« Última modificación: 24 Noviembre 2020, 21:43 pm por #!drvy » En línea

Kyrie Eleison

Desconectado Desconectado

Mensajes: 59


Ver Perfil
Re: Lógica "Cambiar contraseña"
« Respuesta #15 en: 24 Noviembre 2020, 22:09 pm »

Tienes toda la razón.
En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.853


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Lógica "Cambiar contraseña"
« Respuesta #16 en: 24 Noviembre 2020, 23:53 pm »

Citar
Porque SON SUS MAQUINAS Y SUS SISTEMAS, y decide como y cuando y por quien se pueden utilizar

Si usamos tu planteo, el brujo tiene todo el derecho y permiso de modificar nuestras contraseñas cuando a él se le dé la gana, cuando quiera, como quiera y a quien quiera, porque el es el dueño de su foro y de su hosting.


Saludos
« Última modificación: 24 Noviembre 2020, 23:59 pm por [D]aniel » En línea

Leguim


Desconectado Desconectado

Mensajes: 720



Ver Perfil
Re: Lógica "Cambiar contraseña"
« Respuesta #17 en: 25 Noviembre 2020, 04:33 am »

Sí, ya tengo un sistema que me protege de ataques CSRF. Lo que sí no creo que haga eso lo del mail, por ahí a modo de aviso no tanto de seguridad quizás si mandara un mail diciéndole que cambió la contraseña correctamente y eso... (como dije es a nivel de aviso, no de seguridad)...

Gracias por todas las ayudas y sugerencias.
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines