Ola, somos Arume

Desenvolvemos páxinas web, aplicacións para móbiles, capas de realidade aumentada e aplicacións para Facebook. Apaixónanos a informática e somos uns perfeccionistas incurables; por eso nos nosos proxectos utilizamos estándares.

tel. 625 519 694

Mendaña de Neyra, 34, 3º B, 15008, A Coruña

Autenticarse

Rexistrarse. Esqueceches o teu contrasinal?

Etiquetas

Saltar as etiquetas

Subscríbete ás RSS

Estás en:

Blog

Seguridade das sesións en PHP: Cross-Site Session Transfer

14 Xan 2011 por Luis

Comentarios en Seguridade das sesións en PHP: Cross-Site Session Transfer: 1

Transferencia

Cross-Site Session Transfer (transferencia de sesión entre sitios) é un tipo de ataque que, dada a súa natureza, só pode darse en servidores compartidos. O ataque baséase en utilizar a sesión creada nunha aplicación web na conta do atacante para acceder a unha aplicación web (que debe ter unha implementación das sesións do sistema de autenticación similar) doutro usuario no mesmo servidor.

É dicir, pondo como exemplo de aplicación web unha tenda virtual (como o osCommerce), un usuario que teña a súa tenda virtual nun servidor compartido podería acceder como administrador na súa propia tenda e logo utilizar esa sesión para acceder como administrador á tenda virtual doutro usuario.

CSS Sprites

30 Dec 2010 por Jose

Comentarios en CSS Sprites: 0

Google sprite

Un factor fundamental que debemos ter en conta á hora de programar unha páxina web é a velocidade de carga. Sempre que traballamos co código temos en conta este factor, pero hoxe comentarei unha técnica que nos permitirá reducir este tempo co uso de CSS. É unha idea que ten a súa orixe nos antigos videoxogos e na necesidade de utilizar mellores gráficos sen que isto afectase ó rendemento, coñecida como Master Grid.

A Master Grid non é máis que unha imaxe que contén todas as imaxes necesarias para a execución do xogo, e para mostrar a imaxe desexada só habería que alterar a posición do fondo; así a páxina web soamente necesita pedir ao servidor unha imaxe.

Seguridade das sesións en PHP: Session Fixation

23 Dec 2010 por Luis

Comentarios en Seguridade das sesións en PHP: Session Fixation: 5

Fixación de sesión

Session fixation (fixación de sesión) é un método de Session hijacking (roubo de sesión) un pouco especial, xa que, se normalmente no roubo de sesión inténtase conseguir o identificador de sesión dun usuario xa *autenticado, a fixación de sesión baséase en asignar un identificador de sesión coñecido a un usuario antes de que se autentique.

Por facer unha analoxía: o roubo de sesión é como intentar roubar a clave dunha tarxeta de crédito, mentres que a fixación de sesión é intentar que a vítima cambie a súa clave a un número dado (e polo tanto coñecido) polo atacante.

O malo deste ataque é que é moi fácil de realizar. O bo, é que é moi fácil de previr.

CSS hacks para Internet Explorer

21 Dec 2010 por Santi

Comentarios en CSS hacks para Internet Explorer: 9

IE CSS hacks

Nos últimos anos os fabricantes de navegadores web concienciáronse por fin da importancia de que os seus produtos se adhiran ós estándares HTML e CSS para un correcto visionado das páxinas web. Pero por desgracia iso non foi sempre así, e durante anos os maquetadores tiveron que pelexarse con navegadores que posuían motores de renderizado incompatibles e repletos de erros. Para iso, desenvolvéronse diversas técnicas, coñecidas como trucos ou hacks de CSS, que permiten explotar as formas peculiares nas que distintos navegadores interpretan o código CSS e conseguir contrarrestar os erros de *renderizado propios de cada navegador.

Seguridade das sesións en PHP: Session Hijacking

13 Dec 2010 por Luis

Comentarios en Seguridade das sesións en PHP: Session Hijacking: 12

Roubo de indentidade

Session Hijacking (secuestro ou roubo de sesión) refírese a que un individuo (atacante) consegue o identificador de sesión entre unha páxina web e un usuario, de forma que pode facerse pasar por este e acceder á súa conta nesa páxina web.

O roubo da sesión pode conseguirse de varias formas, aínda que neste artigo centrarémonos nas que teñen que ver cas vulnerabilidades das sesións e nalgunhas técnicas para mitigalas.