CI seguro es?

[erikrocha]

Hola a toda la comunidad,

Ahora se me presento el desarrollo de una aplicación donde la empresa
cuenta con almacén, varias tiendas y lo que se me ocurre es
desarrollar una aplicación web para poder manejar toda la data de la
empresa.

Ahora la pregunta es? de por sí CI es lo sificientemente robusto,
seguro para poder implementar sobre este el sistema que tengo en
mente? o tengo que usar herramientas adicionales? Https? estoy
preocupado en este punto porque somos una empresa más de un grupo
donde todos estamos a la pugna de ser lider en nuestra línea, por lo
que estoy seguro que los demás intentarán hacer caer nuestro sistema o
lo que es aún peor borrar todo nuestro sistema.

Gracias por los consejos, comentarios e ídeas.

[Nahuel Bulian]

Realmente no tengo la respuesta a tu pregunta, pero estoy muy interesado en las diferentes opiniones, y envió mi mensaje invitando a los que tengan mas experiencia en grandes proyectos a que nos cuenten sus historias.


Saludos
NB.

Antes de imprimir, pensá en el medio ambiente.
Before printing, think about the environment.
Avant d'imprimer, pensez à l'environnement.

[Hernando Gisinger]

De que algo hecho con CodeIgniter sea seguro o no depende de la persona que lo use y la experiencia que tenga haciendo aplicaciones Web. CodeIgniter da las herramientas para hacer que las aplicaciones sean seguras pero depende del desarrollador usarlas bien. Ningún framework te va a dar seguridad si programas en forma descuidada.

Saludos

El 10 de octubre de 2009 11:25, erikrocha <erikr...@gmail.com> escribió:

[Inyaka]

CI es muy seguro si se sabe usar bien, te recomiendo leer esta guia
http://codeigniter.com/user_guide/general/security.html

básicamente activa el filtro XSS y valida las variables que te
lleguen, ademas debieras obligar a crear contraseñas con cierta
complejidad para ingresar al sistema, pues la mayoría de las fallas de
seguridad se producen por el factor humano (capa 8) tambien te
recomiendo en el sistema de logueo limitar el numero de intentos en
determinado tiempo

[jose victor ramos sanchez]

Pues como mencionan arriba CI prevee varios posibles hoyos de seguridad que pueda dejar el programador (los que no nos damos cuenta), como XSS y SqlInjection.

Pero para añadirle un poco de seguridad extra, debes pensar muy bien tu manejo de usuarios así como su pantalla de login (no deberia estar pública puesto que no es un sitio público), asegurar que se usen passwords fuertes, no usen palabras comunes ni usuarios ni tu en las bases de datos/tablas/columnas, etc.

Al igual que mencionan arriba CI te da herramientas suficientes (y te ahorra demasiado trabajo), pero como mencionamos a veces entre amigos, "si alguien los quiere chingar, lo va a hacer". Al menos dejaselo dificil.

2009/10/10 Inyaka <iny...@gmail.com>

--
<☼<allende>☼>
http://www.aliviana.com

[Fásiko]

Lo más que puedo añadir a lo ya dicho (la seguridad se implanta en las políticas y programación de la aplicación), sólo me queda añadir que no dudes utilizar https; es importantísimo que si es un sitio delicado, los datos privados (por lo menos los de acceso) viajen con la máxima seguridad.

Te recomiendo que excluyas el directorio system de la parte accesible en el servidor. Osease, si la ruta en el server es /srv/www/dominio.com/www/index... el system lo metas dentro de /srv/www/dominio.com/ y luego modifiques index.php para especificar la nueva ruta y la ruta para application

Por supuesto, podemos decir que gran parte de la seguridad está en la aplicación, pero es muy importante tener bien configurado el servidor, no activar más servicios de los necesarios, restringir servicios internos (como por ejemplo ssh para sólo vuestra ip), intentar utilizar el mínimo de lenguajes posible, mantener las actualizaciones bien al día (tanto del servidor como del framework y librerías utilizadas), etc...

Por cierto, ¿el servidor es vuestro? porque si es un hosting de terceros, cuidado con lo que contratáis, ya que en mi trayectoria ya he tenído grandes problemas por fallas de seguridad en hosting de terceros (así que lo he solucionado manteniendo yo mis propios servidores)

[Jorge Hoya]

Además de todo lo comentado no está demás contar con una ayuda
'externa'. Si el proyecto es tan importante como dices no dejes de
mirar PHPIDS, un gran IDS [2] desarrolado en PHP, que bien puedes
utilizar 'fuera de codeigniter' (instalandolo como dicen en su ayuda
[3]) o adaptado para ser una librería de CI.

Suerte con el proyecto

[1] http://php-ids.org/
[2] http://es.wikipedia.org/wiki/Ids
[3] http://forum.php-ids.org/comments.php?DiscussionID=232&page=1#Item_0

--
<< El futuro está oculto detrás de los hombres que lo hacen >>
[ http://www.nosoynadie.net/ ] [ http://www.tomashoya.es/ ]

[Erik Rodriguez Chayña]

Oh! varios comentarios muy buenos gracias por ellos.

Claro tienen que ser claves como: s2@,521 y esta de más decir que se tiene que instalar en la PC Antivirus actualizado a diario, Firewall, Antispyware y crear una política de seguridad por parde del usuario donde no abrir correos que contengan adjuntos y demás.

Claro tambien entiendo si una empieza a crear objetos de forma incorrecta (con acceso público por doquier) y estos objetos son de suma importancia entonces es más que seguro que habrá alguien queriendo meterse por ahí.

Ahora sobre lo Https pues creo que tengo de todas maneras implementarlo, pero no sé cuan complejo sea ya que nunca los he usado hasta el momento :S

Para terminar lo que más me preocupa es que el sistema vaya a caer :S ya que se maneja datos críticos, como lo mencioné en el primer post!

Buenos comentarios si alguien no dio su punto de vista aún lo puede hacer :P y si por ahí hay algún proyecto implementado bajo CI y maneja datos críticos no sería mala preguntar cómo lo hizo :D

Hasta la próxima.

2009/10/11 Jorge Hoya <aqui...@gmail.com>

--
Atte.
Rodriguez chayña, Erik

[Walter Cervini]

Te recomendaria, que analizaras un poco la tecnica de control de acceso que usan los bancos con las conexiones electronicas de sus clientes, adicionalmente las recomendaciones que te mencionaron anteriormente, con respecto a lo que mencionas que se vaya a caer, eso lo resuelves con servidores redundantes, por lo general estos mega proyectos requieren de cierta infraestructura, no se debe solo contar con el servidor apache y  bases de datos como tal, segun quien diseño el proyecto deberian de contar con la escalabilidad , seguridad, y fiabilidad de la plataforma, como por ejemplo servidores de Certificados digitales, firewalls, sistemas de deteccion de intrusos, sistemas de monitoreo,etc. Todo depende del diseño y las ganas de invertir en tecnologia.

---

Walter Cervini
Movistar: (58) 0424-1543350 PinBB:20911CF3
Digitel   : (58) 0412-2042186
Web      : http://notas.cervini.com.ve

LinkedinFacebookFlickrTwitterdel.icio.usWordpressDigg

--- @ WiseStamp Signature. Get it now

2009/10/14 Erik Rodriguez Chayña <erikr...@gmail.com>

[Alvaro Lizama]

es seguro pero no perfecto. así que si debes tomar medidas adicionales como https y oras de configuración del servidor.

--
Alvaro Lizama Molina  - http://nekrox.com