Seguridad y datos sensibles

Hola de nuevo.

Sigo liado con la seguridad, ahora tengo un batiburrillo en la cabeza que no sé si debo hacer una cosa o no (por cierto ya he mirado lo del ajax y bien ... Lo podría implementar).

Lo que estuvimos hablando la semana pasada, tú como experto, quiero que me des tu opinión .... El tema es que: en mi web se loga un usuario, envío dicha información al servidor para que la valide (encriptada), si el usuario y contraseña son correctos, una variable global almacena el código de usuario, p.ej, el id de dicho usuario en la base de datos ... Dicho id, se pasa luego mediante url por ejemplo:

<script ...>

document.getElementById("idclientes").src="clientes.php?usuario=" + <?php echo $idUsuario; ?>';

</script>

<iframe src="clientes.php" ></script>

Según tu experiencia ocultarías dicho id, para que no se viese, o sea lo enviarías mediante POST, lo encriptarias?

Información sensible que considerarías? Nombre y apellidos? DNI? Seguridad Social? Fechas?

Gracias de nuevo.

1 respuesta

Respuesta
1

Vamos a ver, el id no hace falta encriptarlo ni ocultarlo, simplemente es un código que dice el numero usuario que es.

Decía que deberías ocultarlo si es la contraseña del usuario

Información a ocultar sería, Nombre y Apellidos, DNI, email, numero de cuenta bancaria, etc

Para mi gusto, si el servidor es de pago, debérias tratar datos como DNI, cuenta bancaria y estos datos importantes bajo https con un certificado de seguridad.

No solo para que el navegador no detecte tu web como phishing sino también para proteger al máximo los datos. Y siempre indicar al usuario la protección de datos bajo ley.

De Entonces, lo que tengo pensado hacer es lo siguiente, dime si te parece correcto:

- Usuario y password, cuando se loga lo mando mediante POST, para ocultar dichos datos.

- el Id que retorna lo puedo pasar libremente mediante GET.

- los datos identificativos de la persona: nombre, apellidos, dirección, dni, seguridad social, ocultos, los envío mediante POST.

- Además los datos tipo DNI, Seg Social, cuentas .... mediante seguridad https.

De hecho lo enviaré todo mediante POST, en $_SESSION y en S_COOKIES, no tengo previsto almacenar nada, ya que la contraseña viaja mediante POST en el momento de logarse y luego no se vuelve a utilizar más (si el usuario modificar datos personales, se le pide la contraseña ... )

Ahora, como siempre que hablo contigo se me abre otro tema el tema del "https", que en este si que no había pensado ...

Bueno, respecto a los puntos que te he puesto ... te parece correcto?

Efectivamente eso es lo que deberías hacer, mandarlo todo por post

El id no es un dato personal, es un dato identificativo de tu tabla en tu base de datos, no importa que se llegue a mostrar.

Para utilizar https, si tienes un servidor con certificado SSL, te aparece una carpeta llamada htdoc y htsdoc si no me equivoco

En esta ultima es donde tienes que colocar las páginas que tratan los datos personales de importancia.

Bueno, pues así lo haré, te informo que estoy con el tema de la
"migración" o sea todo por POST, como con forms la pagina se recargaba
me comunico con el servidor por ajax, ... y estoy suprimiendo los
iframes, y entonces utilizo jquery tan solo para mostrar en div's lo que antes mostraba en los iframes ... ¿no está mal, no? eso si es una paranoia absoluta, estoy haciéndome una documentación paralela (sencilla) porque uno tiene la memoria que tiene y vamos ...

Respecto a lo de https, el sábado pasado envié correos a arsys, acens, y otra más, y bueno solo han contestado los de arsys, en fin ...

Por lo que dices, lo de que la web sea segura, va a ser lo más sencillo ¿no? al fin y al cabo es ponerlo en una carpeta u en otra ... por cierto ¿hay alguna manera de simular https en local?

Encontré una página de Google donde dice los datos que se consideran personales y los datos que se consideran que deberían estar protegidos bajo certificado SSL

Datos personales:

Nombre completo,
dirección de correo electrónico,
dirección de correo postal,
número telefónico,
número nacional de identidad, pensión, seguridad social, identificación fiscal, servicio de salud o licencia de conducir,
nombre de soltera de la madre o fecha de nacimiento, además de cualquier información mencionada anteriormente.

Datos a pasar por SSL:

Números de tarjeta de crédito y de débito,
números de cuenta bancaria y de inversiones,
números de cuenta corriente,
números de transferencia bancaria,
número nacional de identidad, pensión, seguridad social, identificación fiscal, servicio de salud o licencia de conducir.

Página web: http://support.google.com/adwords/bin/answer.py?hl=es-419&answer=1283115

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas

FORM sin navegación

Como no es el mismo tema, prefiero abrir otra pregunta: Estoy cambiando los IFRAME por FORM para enviar los datos mediante POST, por el tema de la seguridad ... El tema es el siguiente, lo bueno que tiene el IFRAME, es que desde una función...
1 respuesta

Página en javascript que actualice el contenido de una tabla

Tengo una página jsp, en la que quiero que cuando el usuario pulse un botón llamado actualizar, se recargue o se actualice el contenido de una capa <div> Dicho contenido es una tabla que se carga con datos de una consulta ala BD, la opción que se me...
1 respuesta

Herramientas para VPN

Disculpe en la respuesta que usted me contesto sobre ip's estáticas o dinámicas en VPN me dijo que más importaba la herramienta o tecnología quisiera que me ayudara con un ejemplo de las herramientas o tecnologías que puedo usar; el proyecto lo tengo...
1 respuesta

Validación mediante dni-e struts 2

Veo que manejas Struts. Estoy desarrollando un portal en el que se valide a los usuarios mediante el DNI-e (es decir, utilizando los certificados digitales que éste contiene) utilizando para ello Struts2 (que es algo nuevo para mi en estos momentos)....
1 respuesta

Cambio de nacionalidad

Me he cambiado la nacionalidad alemana a española. Quisiera saber si tengo que hacer algún tramite para justificar este hecho, ya que ahora tengo una identificación diferente a la que tenía cuando compré mi piso o en otros documentos importantes para...
3 respuestas

Nueva nacionalidad cambio de papeles

Un argentino que ejerce una actividad en españa ha obtenido reciente la nacionalidad española, ¿Tiene qué cambiar sus datos en Hacienda y en la Tesorería por obtener el Dni o le es válido igualmente el permiso de trabajo? ¿Si tiene que modificar...
1 respuesta

Baja y alta en la seguridad social

Quisiera saber como puedo averiguar a través de internet o de algún teléfono si estoy dado de alta o no en la seguridad social.
2 respuestas

Soy usuario de facebook, y me han bloquedado la cuenta, para desbloquear me piden DNI

Bunas noches, desde hace tiempo soy usuario de facebook, y de siempre de vez en cuando me pedían verificar mi cuenta con el correo y contraseña, pero hoy ha sido muy fuerte, así de repente me bloquean la cuanta y me piden me identifique de alguna de...
3 respuestas

Error al enviar correo

Tengo varios accesos gratuitos a internet y con estos puedo enviar y recibir correo sin problemas, pero si utilizo la linea ADSL, solo puedo recibirlos, al enviar cualquier mensaje, me da siempre este error: El mensaje no se pudo enviar, uno de los...
1 respuesta

Seguridad http

Estoy desarrollando una web en php y para gestionarla quiero hacer una página de administración de la misma. Lógicamente, para que no pueda entra todo el mundo he insertado un formulario con login y password, y ahí va mi pregunta: ¿Cómo puedo hacer...
1 respuesta