Web dns.bdat.net

Re: [PHP-ES] Re: friendly URL en PHP + MySQL

Write haof XML files: listas@uakari.com
Fecha: vie 25 mar 2005 - 21:03:55 CET

• Siguiente mensaje: Jordi Canals: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• Mensaje anterior: Grenville Tryon Pera: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• En Respuesta a: Grenville Tryon Pera: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• Siguiente en conversación: Jordi Canals: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• Mensajes Ordenados por: [ fecha ] [ Hilo de conversación ] [ tema ] [ autor ] [ adjunto ]

Grenville Tryon Pera escribió:

> Pues bien, menudo rollo me han formado en mi cabeza. Como hacen uds
> entonces para grabar una ficha de datos personales?
>
> ...
>
> Debe usarse algun metodo de proteccion contra estos ataques? Lo usan
> ustedes? cual? O de repente estamos alejandonos por un camino de
> incertidumbres que lleva a la paranoia?
>
> Personalmente pienso entonces, en crear un campo validador que
> almacene una variable que con un algoritmo (creado por mi) permita
> validar que la grabacion venga de la pantalla de edicion, y que entre
> ambas no haya mas de 5 minutos de diferencia en tiempo, eso sera lo
> correcto... o existe otro metodo?
>
> Grenville Tryon

Haces bien en crear y usar tu propio algoritmo, aunque cualquier cosa
hecha en flash o en javascript se puede observar e imitar.

De todas formas no hace falta llegar a ese nivel de paranoia, aunque
solo un paranoico será capaz de descubrir y prevenir todos los ataques,
yo no lo soy.

No puedes verificar que alguien que dice llamarse Fernando es realmente
Fernando, a menos que emplees otros sistemas como el correo ordinario,
el teléfono, y aún así, alguien bien organizado puede tomarte el pelo,
así que tendrás que confiar en tus usuarios...

Pero lo que yo comentaba es que no puedes confiar en la URL para generar
algunas cosas críticas de tu página web, ya que es lo más fácil de
manipular...

Otra forma divertida de aumentar la seguridad de un formulario es
cambiar aleatoriamente los nombres de los campos por algo que no se
repita ni sea previsible, y con un código que mantiene el registro en la
BD con la lista de nombres de campo empleados y su relación con las
variables a obtener.

Pero, relájate, la mayoría de las veces la gente sólo tontea en la URL,
aunque nunca he visto a mi madre o a mi esposa (ni a mis hermanos)
modificar una URL y cambiar cosas, para ellos es un chorizo
incomprensible...

La seguridad no existe, por eso hay que adoptar las medidas que
razonablemente aumenten la seguridad de tu aplicación hasta el nivel que
consideres apropiado, pero imaginate que tu servidor superseguro se
encuentra en el edificio Windsor de Madrid...
La seguridad es una entelequia, relájate y disfruta.

Devta.

-- 
PHP Spanish Localization Talk Mailing List (http://www.php.net/)
To unsubscribe, visit: http://www.php.net/unsub.php

• Siguiente mensaje: Jordi Canals: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• Mensaje anterior: Grenville Tryon Pera: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• En Respuesta a: Grenville Tryon Pera: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• Siguiente en conversación: Jordi Canals: "Re: [PHP-ES] Re: friendly URL en PHP + MySQL"
• Mensajes Ordenados por: [ fecha ] [ Hilo de conversación ] [ tema ] [ autor ] [ adjunto ]

Este archivo fue generado por hypermail 2.1.7 : sáb 18 mar 2006 - 18:24:09 CET