Jump to content

secure_key

ginesg

By ginesg
in Discusión general

 Share

Recommended Posts

Tecniloco Newbie

Tecniloco

Posted
Posted

Hola ginesg, ese campo sirve para agregar una capa mas de seguridad y prevenir ataques, los datos de sesion guardados en el archivo estan encriptados usando la cadena KEY de password, por lo que solamente el poseedor de la KEY correcta podra acceder. basicamente es eso.. un saludo TECNILOCO.

Link to comment
Share on other sites
ginesg Newbie

ginesg

Posted
  • Author
Posted

Gracias Tecniloco,

mi pregunta viene por la curiosidad de un post que publiqué pero nadie me respondió, no sé si tu me podrías ayudar, el post fue el siguiente:

http://www.prestashop.com/forums/viewthread/36972/instalacin_configuracin_y_actualizacin/enlace_con_sesin_iniciada_dot_

La necesidad que tengo es crear una tienda privada (sólo podrá ser visitada por usuarios registrados), entonces si quiero hacer un mailing que los clientes puedan ver el mail y acceder a sus enlaces sin identificarse.

En www.privalia.com funcionan así, cuando te envía un mailing ya lo ves con tu sesión iniciada y si clicas un enlace ya estás identificado.

Gracias.

Link to comment
Share on other sites
Tecniloco Newbie

Tecniloco

Posted
Posted

Buena pregunta, seguramente no vi ese post que pusiste, a ver esa posibilidad que comentas existe aunque yo personalmente nunca
la he implementado, tendría que investigar un poco ya que basicamente lo que hay que hacer es provocar un inicio de sesión al sisTema
mediante el envío de la url+secure_key pero sinceramente este método me genera algunas dudas como por ejemplo ¿ y si alguien ajeno
se hace con el correo electrónico? tendrá acceso a esa cuenta.. la única posibilidad que se me ocurre ahora es que esa url utilice cookies permanentes contra el equipo que usa el cliente, a lo mejor los tiros van por ahí.. dejame estudiarlo a ver que encuentro.. un saludo TECNILOCO.

Link to comment
Share on other sites
ginesg Newbie

ginesg

Posted
  • Author
Posted

Yo lo estoy investigando mirando un poco el módulo superusuario e intentado aplicar su funcionamiento a este caso.

A lo que comentas de la cookie permanente, no lo veo muy claro, y si el cliente tiene una cuenta por ejemplo de hotmail y se conecta desde casa de un amigo, cibercafé, etc.....

Y respecto a que alguien ajeno se haga con su correo, no creo que debamos pensar que cuando enviamos un email lo va a leer otra persona que no sea su destinatario, aunque siempre puede estar la duda, me imagino que yo le envé este tipo de email al cliente y éste se lo reenvíe a un amigo, pero como te digo, no creo que debamos pensar así.

Si logro algún avance te lo hago saber.

Gracias...

Link to comment
Share on other sites
Tecniloco Newbie

Tecniloco

Posted
Posted

Hola ginesg, he investigado un poco sobre este tema que me parece bastante curioso y solo llego a dos conclusiones, la primera ya te la comenté sobre el uso de cookies permantentes pero como decias tiene sus limitaciones y la segunda opción que usan algunos programas y a mi parecer mas acertada tiene mas complejidad, este seria el planteamiento:

Para que un usuario reciba la url de autologin en este formato

donde "is2h3jhh23423ysd9824398" que sería el resultado en md5 de sumar ( email+password ) habría que crear una función para la generación de la misma en principio que podría ser el módulo de news que necesitas donde seleccionarias a que usuarios quieres enviarle texto y url. Cuando el usuario haga uso del link enviado este será recibido por login.php donde mediante consulta mysql comprobaría la cadena md5 en la base de datos 
"SELECT * FROM ps_customer WHERE MD5(ps_customer.login+ps_customer.password)='$dato_recibido' LIMIT 1",


si la consulta encuentra al usuario, entonces procede con el autologin y redirección a la información relevante.
He estudiado también el módulo que comentaste "SuperUser" que viene hacer algo parecido pero con cookies globales con lo cual te encuentras con el mismo problema anterior tanto del envio de la url como de las limitaciones.. en coclusión la segunda opción me parece mucho mas ingeniosa.. ¿que te parece?

Link to comment
Share on other sites
ginesg Newbie

ginesg

Posted
  • Author
Posted

Pues me parece perfecto, es una solución que no se me había ocurrido.

Si alguien lo necesito no dudaré en ayudarle, pero creo que voy a olvidarme un poco de esta idea, y aquí va la razón:

como comentamos ayer de si el correo llega a otras manos le comencé a dar vueltas a la cabeza e hice pruebas con mi cuenta en privalia.com

Bien, pues reenvié uno de los mails de privalia a un compañero de trabajo, rápidamente le dije que abriera el correo y clicara el enlace "Si no ves correctamente el mensaje, haz clic aquí " que te lleva a su web ya logeado con tu cuenta, y claro.... entró con mi cuenta.

Me imagino una oferta de un producto que yo le envío a un cliente, y este (con su mejor intención) le reenvía este correo a un amigo, pues este segundo amigo podrá entrar con la cuenta del primero, cosa que ya no interesa por mil motivos (intrusión, privacidad de datos, etc...)

Así que como he dicho antes voy a olvidarme de esta solución para mi, pero si alguien lo necesita seguimos este post.

Muchas gracias por tu ayuda Tecniloco.

Link to comment
Share on other sites
[hans] Newbie

[hans]

Posted
Posted

Perdón, por la intromisión, pero es interesante. Creo que esto ya lo hablamos aquí: autologin

...pero bueno, es igual....

Cómo lo haría yo (inseguro):

- Generas emails que envías a la gente donde se incluye enlaces en el cual va directamente el secure_key del cliente y su nombre de usuario. Algo así: http://www.mitienda.com/autologin.php?user=pepe&secure_key=39d93d93

- Esa página de autologin, comprobaría en tu tabla de ps_customer si es esa secure_key para ese cliente:


*) si lo es, le creas la cookie (en el tema del foro te expliqué que miraras el módulo de super admin para ver como se hace esto) y directamente lo redireccionas a la página de my-account, al estar logeado, estará ya en su cuenta


*) si no coincide, está claro que no hacemos nada, o simplemente no le creamos su cookie


Está más que claro el porqué es inseguro, cualquiera que se haga con ese email, entrará en la cuenta de este cliente

Otra forma (más segura):

- Pues pedir ALGUNA identificación, no hay otra forma. Quizás bastaría con el proceso anterior, pero antes de confirmar la cookie, preguntarle por su clave, y si la da correctamente, pues se sigue con el proceso. ESTO ES LO QUE YO HARÍA


saludos
Link to comment
Share on other sites
ginesg Newbie

ginesg

Posted
  • Author
Posted

Hola Hans,

como ya dices lo hablamos en el foro de todoprestashop.com, pero es que el tema lo propuse en los dos foros, creo que no todos utilizan los dos foros y puedes coger ideas y de los dos.

La primera opción como tú dices no es muy segura, así que creo que lo mejor sería descartarla, y la segunda, en mi opinión, si pido alguna identificación para eso pido usuario y contraseña como siempre. La solución que estoy aplicando y creo que es la más lógica es que si yo envío un enlace a http://www.tutienda.com/product.php?id_product=6 me aparece la página principal donde se pide usuario y contraseña (esto utilizando tu módulo private_shop_1_1_0_5 expueto en todoprestashop) al no estar logeado, entonces si los datos son correctos abro http://www.tutienda.com/product.php?id_product=6 ya logeado. Esto modificando en authentication.php la siguiente linea:

if ($cookie->isLogged())
   //Tools::redirect('my-account.php');
   Tools::redirect($_SERVER['HTTP_REFERER']);



Creo que sería lo más oportuno, o que creeis vosotros????

Link to comment
Share on other sites
Tecniloco Newbie

Tecniloco

Posted
Posted

Buenas..pués es casi lo mismo pero pasando por el módulo "private" pero parece ser que no hace uso de las cookies, este finde estuve mirandolo nuevamente y estudiando un poco la puesta en marcha que hacen otros sitios al usar este sistema y saqué en conclusión que utilizan una combinación entre cookies y autologin ya que principalmente los usuarios se conectan en un 85% desde el mismo equipo en caso contrario al no localizar la cookie le obligaría a hacer login... esto tiene mas sentido y en principio mas "seguridad". ¿que os parece? un saludo TECNILOCO.

Link to comment
Share on other sites
ginesg Newbie

ginesg

Posted
  • Author
Posted

Ya lo sé Hans, yo sé que es un inconveniente, pero mi jefe no lo ve así, y como él es el que paga, pues lo tengo que hacer así, ya he valorado todos los inconvenientes de hacer la tienda privada (que sé que son muchos) pero por más que insista mi jefe erre que erre... así que tengo que estar buscando soluciones para todos estos temas, por cierto, el otro día puse un post en todoprestashop (http://todoprestashop.com/foro/viewtopic.php?f=17&t=1940&p=11432#p11432), a ver si serías tan amable de contestarlo si se te ocurre algo para solucionar lo que propongo.

Gracias y un saludo...

Link to comment
Share on other sites
ginesg Newbie

ginesg

Posted
  • Author
Posted

Tecniloco, me parece que cada vez tengo más claro lo que he comentado en la respuesta justo anterior a la tuya, así que haré que se logeen cada vez que accedan desde un enlace y les redireccionaré a esa misma página ya logeados.

Más bien por tema de seguridad.

Gracias y un saludo...

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing
×
×
  • Create New...