 Autor
|
Tema: ¿Ideas para aumentar la seguridad de mi gestor? (Leído 3,998 veces)
|
KateLibby
 Desconectado
Mensajes: 90
|
Tengo que contruir un programa gestor de clientes en el cual la base de datos contendrá contraseñas y datos personales, por lo que tiene que ser lo más seguro posible.
Las medidas de seguridad con las que había pensado son:
- Cifrar contraseñas en la base de datos.
- Limitar el acceso sólo a unas IPs concretas.
- Bloquear el acceso a los usuarios que hayan introducido mal la contraseña X veces.
¿Podríais darme más ideas para aumentar la seguridad?
Gracias de antemano.
|
|
|
|
|
En línea
|
|
|
|
|
|
KateLibby
Desconectado
Mensajes: 90
|
Muchas gracias! Le echaré un vistazo!
|
|
|
|
|
En línea
|
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Si se trata de un sistema medianamente grande, yo te recomendaria usar algun Framework, CodeIgniter por ejemplo, que funciona en cualquier servidor. Es totalmente seguro, ya que es de los mas populares. Hay quienes prefieren desarrollar todo ellos mismos, y la verdad que no los entiendo  gustos son gusto, pero siempre es probable que se no escape algo en seguridad web...mientras que si usamos algun framework de calidad como CI nos olvidamos del aspecto de la seguridad y solo te consentras en desarrollar. Su curva de aprendizaje es relativamente baja. Saludos |
|
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir!  |
|
|
|
madpitbull_99
|
CodeIgniter totalmente seguro? Lo he usado en mi último proyecto y que te lo diga WHK, no es muy seguro, lo único de seguridad que ofrecen
es la protección XSS y solo filtra algunas palabras.
Si vas a envíar datos vía POST, tiene un helper para proteger contra CSRF, pero si envías los datos por GET, te tienes que buscar la vida.
Aunque un framework agiliza el desarrollo, no ofrece total seguridad, tarea que recae en las manos del desarrollador.
PD: No es mi intención hacer un flamewar.
|
|
|
|
|
En línea
|
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Yo uso CI 2.0.2 que ya incorpora preccion contra CSRF (desactivada por defecto): application/config/config.php/* |-------------------------------------------------------------------------- | Global XSS Filtering |-------------------------------------------------------------------------- | | Determines whether the XSS filter is always active when GET, POST or | COOKIE data is encountered | */ $config['global_xss_filtering'] = TRUE; /* |-------------------------------------------------------------------------- | Cross Site Request Forgery |-------------------------------------------------------------------------- | Enables a CSRF cookie token to be set. When set to TRUE, token will be | checked on a submitted form. If you are accepting user data, it is strongly | recommended CSRF protection be enabled. | 'csrf_token_name' = The token name | 'csrf_cookie_name' = The cookie name | 'csrf_expire' = The number in seconds the token should expire. */ $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name';//Usar un string alpha-num de uno 20 chars $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200;
Aca se explica como hacerlo 'a mano' De todas formas acepto que fue muy pretencioso decir que algo es totalmente seguro, my foul.  |
|
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir! |
|
|
|
madpitbull_99
|
Conozco la "protección" anti CSRF, lo único que hace es agregar un campo hidden con el valor del token en cada formulario.
Así al recibir los datos, compruebas el token. ¿Pero si envías los datos por GET? Tienes que pasarle el token "a mano" a través de la url.
|
|
|
|
|
En línea
|
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Es verdad. La verdad que nunca me vi en la necesidad de pasar por get, ni siquiera usando AJAX. Nuevamente Reconozco que fue desmedida (y muy incorrecta) mi afirmacion de que el framework es totalmene seguro. Pero a lo que iba es que ya tenemos el 80% del trabajo (por tirar un numero) hecho. Si quisieramos implementar toda la segurida a mano es demasiado laburo. Cada uno elige. En cuanto a hacerlo a mano acá se explica con lujo de detalle. PD: No es mi intención hacer un flamewar. Para nada, a lo mejor me estoy perdiendo de algo y toda critica costructiva es util, ademas respeto mucho tu opinion en estos temas. Saludos |
|
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir! |
|
|
|
bomba1990
|
a mi tambien me gusta mucho este tema, y era de los que creia que la proteccion contra xss y contra sqli estaba "protegido", no soy ningun entendio sobre el tema, pero me gustaria saber si no es seguro, que deberia hacer para trabajar mas "seguro" y segundo porque no es seguro, como lo sabes lo leiste? revisaste el codigo? (es para yo poder verlo tambien)
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Intentando aumentar la seguridad de mi script
Scripting
|
pato_pato_pato
|
0
|
1,990
|
3 Febrero 2009, 17:27 pm
por pato_pato_pato
|
|
|
|
Duda: ¿se pueden encadenar vpn para aumentar la seguridad? Pago si hay solución
Redes
|
Extranjera88
|
1
|
2,431
|
10 Abril 2014, 23:20 pm
por mugre
|
|
|
|
Tu próxima contraseña saldrá de tu cuerpo: biometría para aumentar la seguridad
Noticias
|
wolfbcn
|
0
|
1,104
|
2 Julio 2014, 01:43 am
por wolfbcn
|
|
|
|
Lluvia de ideas-Seguridad-Corrupcion-MiPaís
Seguridad
|
Miss_Murder77
|
2
|
2,684
|
5 Junio 2016, 01:57 am
por Miss_Murder77
|
|
|
|
Problema de seguridad con gestor de correo Disroot
Seguridad
|
W17CH3R
|
0
|
2,098
|
30 Agosto 2021, 21:23 pm
por W17CH3R
|
 |
