[PHP-ES] Login de usuario y seguridad

From: Jordi Canals ( llistes .en. jcanals.net)
Date: Sun Mar 14 2004 - 00:30:28 CET


Buenas,

Estoy desarrollando un sistema para un portal. Tengo unas pequeñas dudas
y por ello deseo exponerlas para recibir vuestra opinion.

La funcionalidad que deseo, es que el sistema recuerde a los usuarios
que normalmente lo visitan y que se han registrado en el portal. Se me
ocurre en este aspecto trabajar de dos formas:

1. Enviar una cookie al usuario, que mantenga la información de login,
de forma encriptada. De esta forma, cuando el usuario vuelva a visitar
la web, podrá presentar esta cookie y ser autentificado de forma
automática (sin necesidad de pedir los datos).

Este planteamiento me presenta importantes dudas de seguridad, pues al
mantenerse la información en la máquina del usuario, la cookie podria
ser "robada", y con ello suplantar la identidad del usuario. Dejariamos
la seguridad en manos del usuario y el navegador y de los posibles
agujeros de seguridad que pudiera haber en su PC.

2. La segunda opción, sería mantener la sesión en el servidor. En este
caso, la seguridad ya no depende de la maquina del usuario, sino del
servidor. Para incrementar la seguridad, se pueden tomar datos
adicionales del usuario, como la IP y el navegador que utiliza, que
deberian mantenerse en toda la sessión ...

Este segundo planteamiento, tiene solo un problema: el usuario deberá
autentificarse en la web cada vez que la visite. O si ha superado los 15
minutos de inactividad.

Y ahí va mi pregunta: Por motivos de seguridad, prefiero la segunda
opción. Pero, por comodidad del usario, me gustaría mantener de alguna
la función de login automatico en la web que facilita la primera.

¿Alguna sugerencia sobre este asunto? Como veis, se trata más de un
planteamiento de diseño, que técnico, pues no tengo problemas en
implementar la autentificación en una u otra forma ...

Un saludo,
Jordi.

-- 
PHP Spanish Localization Talk Mailing List (http://www.php.net/)
To unsubscribe, visit: http://www.php.net/unsub.php


This archive was generated by hypermail 2.1.7 : Fri May 14 2004 - 16:04:36 CEST