lunes, 10 de octubre de 2011

Php seguridad, como configurar (parte 2)

En el post anterior vimos el escenario donde no tenemos acceso al servidor, pero ahora vamos a ver el caso en el que si.

Buscamos el archivo de configuración de php o sea el famosísimo php.ini, en el haremos la siguiente configuración:

;desactivamos los errores
display_errors = Off
session.save_path = "cambiamos a otro"
;activamos el uso de cookies
session.use_cookies = 1
;forzamos el uso de cookies para el id de sesion
session.use_only_cookies = 1
;le cambiamos el nombre a la cookie
session.name = usamosotronombre
;evitamos que la cookie pueda ser accesada desde java script
session.cookie_httponly = 1
;cambiamos el valor de la probabilidad de que el garbage collector se inicie
session.gc_probability = 10
session.gc_divisor = 100
;reducimos el tiempo de vida de la basura (datos) del garbage collector
session.gc_maxlifetime = 600
;cambiamos el algoritmo de generacion de id de sesion por el sha1(160bits)
session.hash_function = 1 ;aunque podemos usar cualquier otro de la lista que muestra la funcion hash_algos()


Obviamente buscamos dichas directivas y les cambiamos el valor (NO las agregamos). Ahora hacemos lo mismo que en el post anterior creamos archivos .htaccess para restringir el acceso y/o el uso de index que redireccionen a la zona correcta de nuestro sitio.

 Ahora buscamos el archivo de configuración de nuestro servidor apache el también  famosísimo  httpd.conf y modificamos el siguiente código:

<Directory />
Options –FollowSymLiks -Indexes -ExecCGI AllowOverride None
Order deny,allow
Deny from all
</Directory>


También podemos optar por tratar los archivos *.inc y como archivos php, al agregar la extensión en la sección <IfModule mime_module> la extensión "AddType application/x-httpd-php .inc". Así como denegar el acceso de los mismos desde apache, con:

<Files ~ “\.inc$”> 
Order allow ,deny
Deny from all
</Files>


En la tercera entrega veremos la parte mas extensa pero la mas determinante a la hora de mejorar la seguridad de nuestro sitio y se trata de nuestras costumbres de programación, veremos lo que no debemos hacer y lo que si debemos hacer, para que nuestras aplicaciones sean seguras aunque ojo no invulnerables pero se lo pondremos tan difícil al cracker que tendría que ser un genio de talla internacional para hackear nuestra web jejeje bueno tal vez no tanto, hasta la próxima.

No hay comentarios.:

Publicar un comentario