Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
544 lecturas y 3 respuestas
  • 6

    Login por HTTPS

    Gracias al trabajo de txuspe, el login ya va por HTTPS, lo que añade un poco más de seguridad a la hora de enviar tu contraseña de usuario de BA al servidor, sobre todo si estás en una red wifi abierta.

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    1
    • BocaDePez BocaDePez
      6

      Pero si te capturan la sesión estás vendido igual (hay…

      Pero si te capturan la sesión estás vendido igual (hay extensiones para firefox que capturan sesiones de facebook y demás). Todo el tráfico "debería" ser https, claro que esto sería inviable con tantos visitantes. Una opción (que imagino también es demasiado costosa de implementar en sitios como este) es que el envío de un nuevo comentario/editar uno pida una clave (y sea por https) y que editar cualquier dato personal: email, etc requiera contraseña anterior y sea por https.

      Por supuesto teclear la clave cada vez que se escribe/edita un comentario es incómodo. Posible solución: no mantener sesiones abiertas todo el rato (incomodo) o poner esa posibilidad si estás en un ordenador público o usando wifi y tener un buen control de sesiones además de comprobar el useragent, IP y SO dentro de la misma sesión y otras pijadas similares.

      Al final suele ser mejor asumir que lo que habéis puesto es un poco más seguro y que para sitios normales que no sean un banco no existirá la seguridad al 100%, de hecho, esta seguridad ni en los bancos.

      Pero felicidades por implementar esto.

      • Sí, al hilo de esto es interesante la publicación de…

        Sí, al hilo de esto es interesante la publicación de Barrapunto ayer: barrapunto.com/articles/10/11/17/082259.shtml

        En cualquier caso, en BA no necesitamos tanta seguridad de momento. Implementaremos sobre HTTPS el registro, actualización de datos e inicio de sesión, principalmente para proteger la contraseña del usuario; ya sabes que mucha gente usa la misma para todo. Como te digo, el resto de datos no vamos a protegerlos por ahora.

        Muchas gracias por comentarlo de todas formas. :)