Seguridad http
Estoy desarrollando una web en php y para gestionarla quiero hacer una página de administración de la misma. Lógicamente, para que no pueda entra todo el mundo he insertado un formulario con login y password, y ahí va mi pregunta:
¿Cómo puedo hacer que la conexión entre mi ordenador y el servidor la conexión sea segura? Yo creo que lo suyo sería SSL, pero no se que características debe tener el servidor de hosting que contrate y en el caso de que haya servidores que acepten este protocolo, como hacerlo funcionar.
Agradeceré cualquier respuesta y/o buen tutorial que haya por el Web.
¿Cómo puedo hacer que la conexión entre mi ordenador y el servidor la conexión sea segura? Yo creo que lo suyo sería SSL, pero no se que características debe tener el servidor de hosting que contrate y en el caso de que haya servidores que acepten este protocolo, como hacerlo funcionar.
Agradeceré cualquier respuesta y/o buen tutorial que haya por el Web.
1 respuesta
Respuesta de shenron
1
El ssl se activa en la configuración del servidor web. Lo único que necesitas es un certificado válido (no necesita ser firmado por ninguna entidad pero saldrá un aviso cuando conectes)
Depende de tu proveedor quizá solo te pidan el certificado o te lo generen ellos mismos.
Para tu programación será totalmente transparente e independiente.
Un aviso: no por instalar ssl tu web es segura, los mayores fallos web vienen por defectos del programador.
Depende de tu proveedor quizá solo te pidan el certificado o te lo generen ellos mismos.
Para tu programación será totalmente transparente e independiente.
Un aviso: no por instalar ssl tu web es segura, los mayores fallos web vienen por defectos del programador.
Ok, entiendo, pero, entonces, según me dices yo no debo hacer nada para que los datos de la página de login (es la única que quiero cifrar con SSL) se envíen encriptados ¿no? Eso no lo veo, porque cuando envíe mi código al servidor la transmisión de cliente a servidor será en claro.
Quizá no me expliqué bien... a mi no me interesa que toda la comunicación vaya encriptada, me da igual que se vea lo que se envía EXCEPTO cuando transmito el login y password, este punto quiero que no se vea (básicamente para que si alguien snifa la red no pueda ver estos datos).
¿Puedes aclararme un poco por favor ;)?
Gracias
Quizá no me expliqué bien... a mi no me interesa que toda la comunicación vaya encriptada, me da igual que se vea lo que se envía EXCEPTO cuando transmito el login y password, este punto quiero que no se vea (básicamente para que si alguien snifa la red no pueda ver estos datos).
¿Puedes aclararme un poco por favor ;)?
Gracias
Las url que empiezan por http significa que se conectan al puerto 80
Las url que empiezan por https significa que se conectan al puerto 443 (ssl)
SSL significa secure socket layer y es necesario para poder usar https.
No estaría de más que toda la parte de administración este en ssl.
(
Las url que empiezan por https significa que se conectan al puerto 443 (ssl)
SSL significa secure socket layer y es necesario para poder usar https.
No estaría de más que toda la parte de administración este en ssl.
(
Ok, pondré los links tal y como me indicas con https (yo tenía entendido que https era seguridad http y no ssl, pero en todo caso, si la transmisión de datos está encriptada ya me está bien).
Por otro lado, ¿se puede evitar el robo de sesión? Quizá sería conveniente que todo el área de administración funcione bajo links https ¿no?
Muchas gracias, me habéis sido de gran utilidad.
Por otro lado, ¿se puede evitar el robo de sesión? Quizá sería conveniente que todo el área de administración funcione bajo links https ¿no?
Muchas gracias, me habéis sido de gran utilidad.
Exacto tu no tienes que hacer nada, simplemente pon los links que accedan en vez de a http://www.tusitio.com a https://www.tusitio.com/.
Simplemente con esto el navegador entenderá que va a acceder a un sitio en que la conexión esta encriptada.
De todas maneras esto unicamente te asegura que los datos viajan encriptados, no aporta más seguridad a tu web.
Si después quieres que la web se envíe sin encriptar vuelve al http:// normal después de hacer la autenticación, pero ten muy en cuenta que si dejas de usar el ssl una vez identificado el usuario te podrían hacer algún ataque de robo de sesiones.
Simplemente con esto el navegador entenderá que va a acceder a un sitio en que la conexión esta encriptada.
De todas maneras esto unicamente te asegura que los datos viajan encriptados, no aporta más seguridad a tu web.
Si después quieres que la web se envíe sin encriptar vuelve al http:// normal después de hacer la autenticación, pero ten muy en cuenta que si dejas de usar el ssl una vez identificado el usuario te podrían hacer algún ataque de robo de sesiones.
