Estás en:

Blog: Seguridade web

Converter un certificado de P12 (PKCS #12) a PEM

18 Nov 2013 por Luis

Comentarios en Converter un certificado de P12 (PKCS #12) a PEM: 0

Firma dixital

Ás veces necesitamos acceder a algún servizo para o que hai que autenticarse mediante un certificado de seguridade. Si este certificado vén en formato PKCS #12 podemos ter o problema de que a nosa librería non teña soporte para este tipo de certificado, polo cal necesitaremos convertelo a formato PEM.

Directivas PHP: safe_mode

04 Xul 2011 por Jose

Comentarios en Directivas PHP: safe_mode: 1

PHP

Di a documentación oficial de PHP que a directiva safe_mode é un intento de resolver un problema de seguridade en servidores compartidos. E aínda que si mellora a seguridade non resulta unha práctica infalible, xa que leva a moitos provedores de Internet (ISP) e programadores a pensar que están a salvo de ameazas de seguridade. Isto non debe ser do todo certo cando a comunidade PHP a declarou obsoleta na versión 5, e non estará presente na versión 6.

Encriptar e gardar contrasinais en base de datos

16 Feb 2011 por Luis

Comentarios en Encriptar e gardar contrasinais en base de datos: 29

Top secret

Sempre que se deseña unha aplicación que necesite identificación de usuarios suscítase a dúbida de se utilizar un sistema de autenticación externo (Facebook, Google , OpenId, ...) ou un sistema de autenticación propio. Cando se utiliza un sistema de autenticación propio, exponse o problema da seguridade á hora de gardar os contrasinais dos usuarios na nosa base de datos.

Seguridade das sesións en PHP: Cross-Site Session Transfer

14 Xan 2011 por Luis

Comentarios en Seguridade das sesións en PHP: Cross-Site Session Transfer: 1

Transferencia

Cross-Site Session Transfer (transferencia de sesión entre sitios) é un tipo de ataque que, dada a súa natureza, só pode darse en servidores compartidos. O ataque baséase en utilizar a sesión creada nunha aplicación web na conta do atacante para acceder a unha aplicación web (que debe ter unha implementación das sesións do sistema de autenticación similar) doutro usuario no mesmo servidor.

É dicir, pondo como exemplo de aplicación web unha tenda virtual (como o osCommerce), un usuario que teña a súa tenda virtual nun servidor compartido podería acceder como administrador na súa propia tenda e logo utilizar esa sesión para acceder como administrador á tenda virtual doutro usuario.

Seguridade das sesións en PHP: Session Fixation

23 Dec 2010 por Luis

Comentarios en Seguridade das sesións en PHP: Session Fixation: 5

Fixación de sesión

Session fixation (fixación de sesión) é un método de Session hijacking (roubo de sesión) un pouco especial, xa que, se normalmente no roubo de sesión inténtase conseguir o identificador de sesión dun usuario xa *autenticado, a fixación de sesión baséase en asignar un identificador de sesión coñecido a un usuario antes de que se autentique.

Por facer unha analoxía: o roubo de sesión é como intentar roubar a clave dunha tarxeta de crédito, mentres que a fixación de sesión é intentar que a vítima cambie a súa clave a un número dado (e polo tanto coñecido) polo atacante.

O malo deste ataque é que é moi fácil de realizar. O bo, é que é moi fácil de previr.