Estás en:

Blog: Seguridad web

Convertir un certificado de P12 (PKCS #12) a PEM

18 Nov 2013 por Luis

Comentarios en Convertir un certificado de P12 (PKCS #12) a PEM: 0

Firma digital

A veces necesitamos acceder a algún servicio para el que hay que autenticarse mediante un certificado de seguridad. Si este certificado viene en formato PKCS #12 podemos tener el problema de que nuestra librería no tenga soporte para este tipo de certificado, por lo cual necesitaremos convertirlo a formato PEM.

Directivas PHP: safe_mode

04 Jul 2011 por Jose

Comentarios en Directivas PHP: safe_mode: 1

PHP

Dice la documentación oficial de PHP que la directiva safe_mode es un intento de resolver un problema de seguridad en servidores compartidos. Y aunque sí mejora la seguridad no resulta una práctica infalible, ya que lleva a muchos proveedores de Internet (ISP) y programadores a pensar que están a salvo de amenazas de seguridad. Esto no debe ser del todo cierto cuando la comunidad PHP la ha declarado obsoleta en la versión 5, y no estará presente en la versión 6.

Encriptar y guardar contraseñas en base de datos

16 Feb 2011 por Luis

Comentarios en Encriptar y guardar contraseñas en base de datos: 28

Top secret

Siempre que se diseña una aplicación que necesite identificación de usuarios se suscita la duda de si utilizar un sistema de autenticación externo (Facebook, Google , OpenId, ...) o un sistema de autenticación propio. Cuando se utiliza un sistema de autenticación propio, se plantea el problema de la seguridad a la hora de guardar las contraseñas de los usuarios en nuestra base de datos.

Seguridad de las sesiones en PHP: Cross-Site Session Transfer

14 Ene 2011 por Luis

Comentarios en Seguridad de las sesiones en PHP: Cross-Site Session Transfer: 1

Transferencia

Cross-Site Session Transfer (transferencia de sesión entre sitios) es un tipo de ataque que, dada su naturaleza, sólo puede darse en servidores compartidos. El ataque se basa en utilizar la sesión creada en una aplicación web en la cuenta del atacante para acceder a una aplicación web (que debe tener una implementación de las sesiones del sistema de autenticación similar) de otro usuario en el mismo servidor.

Es decir, poniendo como ejemplo de aplicación web una tienda virtual (como el osCommerce), un usuario que tenga su tienda virtual en un servidor compartido podría acceder como administrador en su propia tienda y luego utilizar esa sesión para acceder como administrador a la tienda virtual de otro usuario.

Seguridad de las sesiones en PHP: Session Fixation

23 Dic 2010 por Luis

Comentarios en Seguridad de las sesiones en PHP: Session Fixation: 5

Fijación de sesión

Session fixation (fijación de sesión) es un método de Session hijacking (robo de sesión) un poco especial, ya que, si normalmente en el robo de sesión se intenta conseguir el identificador de sesión de un usuario ya autenticado, la fijación de sesión se basa en asignar un identificador de sesión conocido a un usuario antes de que se autentique.

Por hacer una analogía: el robo de sesión es como intentar robar la clave de una tarjeta de crédito, mientras que la fijación de sesión es intentar que la víctima cambie su clave a un número dado (y por lo tanto conocido) por el atacante.

Lo malo de este ataque es que es muy fácil de realizar. Lo bueno, es que es muy fácil de prevenir.