(Pregunta): El usuario puede editar sus cookies?

Leguim · 2 Noviembre 2019, 05:45 AM

Buenas noches,
Estaba haciendo un sistemita de tentativas al enviar un formulario, al llegar a las 3 tentativas se le enviará un mensaje "Llegaste a los 3 intentos ya no podes usar el formulario". Estaba pensando que para esto podria usar cookies que vayan contando sus intentos pero mi duda es si el usuario puede editar esta cookie y poner el valor que el quiera o si es mejor usar $_SESSION aunque no se..

@XSStringManolo · 2 Noviembre 2019, 14:33 PM

Con document.write(document.cookie) ves las cookies del sitio. Y con document.cookie="intentos=0" creas la cookie.

Puedes hacerlo directamente desde la barra de direcciones del navegador usando el pseudo protocolo de javascript.
javascriptDOSPUNTOSalert(document.cookie)

javascriptDOSPUNTOSdocument.cookie="intentos=0"

Cambia DOSPUNTOS por :
Te lo escribo así porque salta el WAF del foro y no me deja publicar el mensaje.

El usuario siempre tiene 100% control del cliente, hagas lo que hagas.
O mejor dicho, el usuario siempre tiene 100% control de los datos que te envia. Nada de lo que hagas en el cliente vas a poder confiar en ello. Asique la seguridad debe estar siempre del lado del servidor. Puede que el usuario de tu aplicacion ni siquiera use un navegador.
Puede mandarte las peticiones escritas a mano. Asique si por ejemplo ocultas un formulario en el cliente, o no lo añades, pero en el servidor lo aceptas, pueden crear dicho formulario y enviárte el POST.

Leguim · 2 Noviembre 2019, 15:58 PM

Cita de: string Manolo en 2 Noviembre 2019, 14:33 PM
Con document.write(document.cookie) ves las cookies del sitio. Y con document.cookie="intentos=0" creas la cookie.

Puedes hacerlo directamente desde la barra de direcciones del navegador usando el pseudo protocolo de javascript.
javascriptDOSPUNTOSalert(document.cookie)

javascriptDOSPUNTOSdocument.cookie="intentos=0"

Cambia DOSPUNTOS por :
Te lo escribo así porque salta el WAF del foro y no me deja publicar el mensaje.

El usuario siempre tiene 100% control del cliente, hagas lo que hagas.
O mejor dicho, el usuario siempre tiene 100% control de los datos que te envia. Nada de lo que hagas en el cliente vas a poder confiar en ello. Asique la seguridad debe estar siempre del lado del servidor. Puede que el usuario de tu aplicacion ni siquiera use un navegador.
Puede mandarte las peticiones escritas a mano. Asique si por ejemplo ocultas un formulario en el cliente, o no lo añades, pero en el servidor lo aceptas, pueden crear dicho formulario y enviárte el POST.

Si, para ello implemente un anti-CSRF.. ¿Te parece conveniente entonces usar $_SESSION?

engel lex · 2 Noviembre 2019, 16:07 PM

no si quiera es necesario js, solo abres la consola de crome (f12) vas a la ppestaña aplicacion, de allí vas a la izquierda cookies y las puedes editar

Citar¿Te parece conveniente entonces usar $_SESSION?

si, todo lo que no quieres que el usuario te pueda joder malintencionadamente, lo metes allí

Leguim · 2 Noviembre 2019, 17:48 PM

Cita de: engel lex en 2 Noviembre 2019, 16:07 PM
no si quiera es necesario js, solo abres la consola de crome (f12) vas a la ppestaña aplicacion, de allí vas a la izquierda cookies y las puedes editar

si, todo lo que no quieres que el usuario te pueda joder malintencionadamente, lo metes allí

¡Genial! Muchas gracias a los dos.

Test Foro de elhacker.net SMF 2.1

(Pregunta): El usuario puede editar sus cookies?

Leguim

@XSStringManolo

Leguim

engel lex

Leguim