Mensajes

Era muy largo y dije, paso de subir este tostón.

Por que no, siempre se puede aprender algo nuevo con los aportes de  las demas personas

Una semilla de 8192 bits...

Si se que es mucho, voy a editar el post para no drenar la entropia de aquellos con servidores compartidos y demas, me hizo mucha graciosa la imagen 

Si bastaria solo con unos 32 o 16 Bytes.

Sobre la cantidad disponible de entropia no tengo ningun problema, la maquina donde estoy haciendo las pruebas tiene hardware RNG y la cantidad de entropia disponible siempre retorna mas de 3000

Código [Seleccionar] Expandir

cat /proc/sys/kernel/random/entropy_avail

Entrada tambien en mi blog:
Validacion de token de forma Criptografica, evitar ataques CSRF

Bueno esto viene del tema que abrio el usuario MiguelCanellas    
[Aporte]: Sistema Anti ataques CSRF (Espero sugerencias).

La forma mas sencilla de genera un token sin incluir nada de criptografia  y que se envie al usuario para posteriormente ser validado es la siguiente:

Código (php) [Seleccionar] Expandir

$token = hash("sha256",random_bytes(32));

Esto nos produce una cadena hash sha256 apartir de 1Kilobyte de datos random.

La cosa seria sencilla guardarlo en la $_SESSION en el server y mandarlo al usuario, si lo devuelve comparamos que sean iguales y listo no hay mucho pierde.

Se necesita mas seguridad.... ?

El simple hecho que tengamos una cadena hash sha256 apartir de 1Kilobyte de datos random. hace casi imposible que alguien pueda generar el token por si solo y que coincida con el que generamos nosotros, podriamos incrementar la cantidad de bytes generados por la funcion openssl_random_pseudo_bytes simplemente incrementando su valor.

Ahora si realmente queremos proteger la informacion mediante criptografia tenemos que hacer las cosas bien.

Una implentacion rapida para ejemplificar este proceso es la siguiente:

Código (php) [Seleccionar] Expandir

<?php
$cipher = 'AES-256-CBC'; //SUIT de cirado utilizada 
$strkey = "s3cr3tk3yh4x0r"; //Clave en el servidor, secreta, cambiar esta clave de ejemplo POR FAVOR de preferencia utilizar una clave generada de forma segura con openssl_random_pseudo_bytes o /dev/random
$realkey = hash("sha256",$strkey,true); //Hash de la clave en formato Raw
$ivlen = openssl_cipher_iv_length($cipher); // Obtenemos el tamaño del Vector Inicializado de acuardo a la Suit de cifrado que estemos utilizando
$iv = openssl_random_pseudo_bytes($ivlen); // Obtenemos $ivlen bytes random no nos interesa saber su valor
$token = hash("sha256",random_bytes(32)); //Token sin cifrar este valor nuca lo ve el UserAgent
$token_cifrado = openssl_encrypt($token,$cipher,$realkey,OPENSSL_RAW_DATA,$iv); 
$salida = base64_encode($token_cifrado); //Este valor si lo ve el User Agent
echo "token: ".$token."\n";
echo "token cifrado, salida raw: ".$token_cifrado ."\n";
echo "token cifrado, salida base64: ".$salida."\n";
$entrada = base64_decode($salida);
$token_decifrado = openssl_decrypt($entrada,$cipher,$realkey,OPENSSL_RAW_DATA,$iv);
echo "token decifrado: ".$token_decifrado ."\n";
if($token_decifrado == $token) {
echo "token correcto\n";
}
else {
echo "token Incorrecto\n";
}
?>

Si vemos el codigo anterior el "token" que enviaremos al usuario es la salida en base64 del token previamente cifrado.

Acontinuacion una posible salida de las casi infinitas salidas....

Código [Seleccionar] Expandir


token: 5ab8aac170554a2683e0cc0534a34e80d0f16031a13faa3c3a5ee44902b2c6a1
token cifrado, salida raw:
CU
?!,F8C4d1su
       SN{|큮vDjUa=qQKKKȀE#(@/I
token cifrado, salida base64: AUO6plUB9j8h+IvsyixGOAfZQzRkCzG84XN1vN7X2Aq2CVNOont87YGudsJEq2q1VWE9vZhxqJWfUUviv0tL9ciA+kWTI74oGEAvl4sSSak=
token decifrado: 5ab8aac170554a2683e0cc0534a34e80d0f16031a13faa3c3a5ee44902b2c6a1
token correcto


La idea en este caso es enviar la informacion cifrada al usurio y cuando este la envie devuelta se descifra y se compara con la almacenada previamente en la $_SESSION del usuario.
Cosas que se pueden mejorar el valor de nuestra Key inicial podria ser un archivo random en nuestro servidor generado previamente, podriamos tener una llave distinta por usuario, etc etc etc...

[$_SESSION['token_token_profile']]

Estoy ciego o te falta la función hash_data() ?

Lo mismo estaba por comentar.

La funcion create_code podria quedar mas sencilla.

Código (php) [Seleccionar] Expandir


<?php
function Create_Code()
{
return hash("sha256",openssl_random_pseudo_bytes(1024));
}
?>



Por cierto tus llamdas a la funcion Validate_Token no van a funcionar ejemplo:

Código [Seleccionar] Expandir

  if(Validate_Token('token_profile', $_GET['token_csrf']))

Código [Seleccionar] Expandir

Validate_Token('token_login'

cuando en el codigo que publicaste dice:

Código [Seleccionar] Expandir

if(!empty($_SESSION['token_'.($page)]) && $_SESSION['token_'.($page)] === $value)

Con lo cual estarias tratando de valiar la variable $_SESSION['token_token_profile']

Por cierto cree un tema respondiendote como implementar criptografia.
[Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF

Funte: Como crear un formulario de comentarios para tu web

Pues nada lo primero es tener el Formulario en HTML.
Posterior mente el javascript para validar el formulario antes de enviarlo
El script en el Backend para volver a validar los datos.
El metodo de almacenamiento del comentario (Base de datos)
Un sistema para evitar que saturen de comentarios basura
Y al final pero mas importante EVITAR SER HACKEADO (xss, sql, file inclusion etc etc etc etc etc)

El codigo en HTML para el formulario utilizando Boostrap:

Código (html4strict) [Seleccionar] Expandir


<h4>Deja un comentario</h4>
<p></small>Tu dirección de correo electrónico no será publicada. <b>Los campos obligatorios están marcados con *</b></small></p>
<div class="form-group">
<label for="exampleInputUsername">Nombre *</label>
<input type="text" class="form-control" id="exampleInputUsername" aria-describedby="usernameHelp">
<small id="usernameHelp" class="form-text text-muted">Nombre para mostrar, este campo si va a ser mostrado</small>
</div>
<div class="form-group">
<label for="exampleInputEmail">Correo Electronico *</label>
<input type="email" class="form-control" id="exampleInputEmail1" aria-describedby="emailHelp">
<small id="emailHelp" class="form-text text-muted">Tu direccion de correo electronico no sera publicada</small>
</div>
<div class="form-group">
<label for="exampleInputWEB">WEB *</label>
<input type="text" class="form-control" id="exampleInputWEB" aria-describedby="webHelp">
<small id="webHelp" class="form-text text-muted">Direccion WEB Segura valida ejemplo: https://www.example.com/</small>
</div>
<div class="form-group">
<label for="exampleTextAreaComentario">Comentario *</label>
<textarea class="form-control" id="exampleTextAreaComentario" rows="5" aria-describedby="comentarioHelp"></textarea>
<small id="comentarioHelp" class="form-text text-muted">Todos los comentarios seran moderados antes de ser publicados</small>
</div>
<div class="form-group form-check">
<input type="checkbox" class="form-check-input" id="exampleCheckboxSubscribe">
<label class="form-check-label" for="exampleCheckboxSubscribe">Recibir notificaciones de Respuestas a tus comentarios</label>
</div>
<button type="button" class="btn btn-primary">Publicar Comentario</button>
<button type="button" class="btn btn-secondary">Vista Previa</button>
<div id="comentario_vista_previa">
</div>




Resultado:

Concuerdo que un robo es tal cual sin importar el metodo y la cantidad, aun asi es muy diferente abusar de tu puesto para obtener "beneficios", desviar fondos y lavar dinero y otra muy distinta es robar un libro de 10 dólares.

Todo normal con esos archivos son archivos temporales para whatsapp relacionados con la conexión y el cifrado de conversaciones punto a punto.

Es lo mismo cualquiera que conozca el metodo de falsificar o realizar a mano una peticion post va a poder jugar con tu formulario....

Se ve chula la web. El color de la fuente con el fondo blanco es muy cómodo de leer.

Jajaja utilice la primera plantilla que me gusto solo le edapte el PHP en el backend

Puede ser que falle el código si el visitante utiliza un proxy no transparente con una IP y en la cabecera forwarded la del cliente?

Si el proxy funciona como debe (Sock 4 Sock 5 ) la IP debe de coincidir ya que tnato tu backend como el de google verian la misma IP, aunque dependiendo del proxy podria tener ya un score bajo en google, ahorita lo compruebo y posteo los resultados.

Ya realize la prubea con el proxy no arrojo error de las IP y tampoco me arrojo un Score bajo, incluso utilizando un navegador en modo incognito. Creo que el score te lo va ir bajando si tratas de abusar del formulario.

Saludos!

No se puede. Si es accesible para los scripts del navegador es tambien accesible para el usuario. Tendria que limitarlo a determinada session o en su defecto mandar tokens al scripts del navegador y que solo los tokens que aun no se utilizan puedan realizar peticiones validas.

Pero aun asi ese método no va a detener a cualquier curioso que quiera jugar con ese Formulario.

Saludos.

Si se puede, solo que quedaria la particion o particiones originales del de 120, desconozco si ese programa pueda reparticionar, si tubieras linux sería cosa sencilla.

Saludos