5 replies to this topic

[paulonasc]

Minha dúvida é mais sobre segurança, mas como eu estou utilizando php estou postando aqui.

Eu to desenvolvendo um sistema que só deve ser acessado por usuários autênticos. Minha ideia inicial é que assim que o usuário se logar armazenar uma string na sessão contendo informações que digam qual usuário está logado, essa string é uma concatenação do nome do usuário e da senha devidamente criptografados para que eu cheque no banco de dados a consistência desses dados sempre que uma pagina restrita for requisitada.

Mas ai eu ponho em cheque os seguintes pontos:

- Segurança dos dados usuário: por que armazenar a senha do usuário arbitrariamente é meio incerto. Mesmo levando em consideração que o que eu vou estar armazenando é uma senha convertida em hash md5, ou seja não passa pelo form de login, por que ai seria uma hash de outra hash e não da senha, e ela ser concatenada com outra informação e juntas criptografadas.

- Desempenho: Fazer uma consulta no banco sempre que uma página for aberta pode ocasionar perca de desempenho.

Se eu armazenar só o id, nome de usuário e uma url na sessão, não deixaria o sistema vulnerável? Mesmo levando em consideração que essas informações estariam criptografadas e por isso passariam por um teste de consistência (Que levanta outra questão, qual seria este teste? Banco de dados? Me levaria novamente ao desempenho)?

Edição feita por: paulonasc, 10/06/2012, 13:26.

[LeoB]

Por que acha que armazenar só o id deixaria vulnerável?

[paulonasc]

Por que acha que armazenar só o id deixaria vulnerável?

É só um palpite, por isso eu vim perguntar a opinião de vocês. (:

Por que acha que armazenar só o id deixaria vulnerável?

Acrescentando:

Meu sistema retorna valores que pertencem somente aquele usuário, uma alteração nesse id acarretaria na visualização de informações não pertencentes a ele.

[Allex Severino]

Acrescentando:

Meu sistema retorna valores que pertencem somente aquele usuário, uma alteração nesse id acarretaria na visualização de informações não pertencentes a ele.

Mais ai já é falha no sistema de login. Você tem que gravar o id em uma session e comparar com o id da url. Só acessar as informações se o id da url for igual ao id da session.

E outra coisa...

Geralmente eu codifico o id usando o base64_encode. Ele me retorna algo tipo ?id=MQ==

[LeoB]

Não é pra confundir cookie com sessão. O cookie fica armazenado no cliente. A sessão fica no servidor. Não tem como o usuário alterar a sessão. Pode gravar só o id. Daí você usa ele pra filtrar as informações como o Allex falou. Nem precisa passar por url.

[paulonasc]

Allex,

Na minha pergunta eu expliquei que eu estou usando sessão e com os dados encriptados com criptografia bilateral e nada é passado por url.

LeoB,

Era isso que eu queria saber (:
Eu realmente pensava que session era algo como cookie que ficava no cliente.
Ou seja, nem preciso criptografar correto?

Obrigado pela resposta

Edição feita por: paulonasc, 12/06/2012, 13:13.