Hola, Los datos se estan pasando por querystring y la informacion esta muy visible, asi que no vas a poder hacer algo infalible. Pero creo que encriptando de forma simetrica la informacion que vos mandas es suficiente... Despues de todo el metodo usado para guardar la informacion es a travez de cookies encriptadas en el cliente, y en definitiva tiene las mismas pros y contras que encriptar por querystring (el cliente tiene acceso total a la informacion y el unico desafio es desencriptar). Si haces como vos decis, de guardar un hash random en la base de datos, se puede y va a ser mucho mas dificil de hackear, pero usarlo en todas las paginas implica mucho mas trabajo (ya que hay que modificar las tablas, las consultas, los objetos, etc...). Yo personalmente uso esto en casos muy especificos en donde se necesita enviar informacion sencible, pero si no encriptacion simetrica suele ser lo mas rapido y facil de implementar a nivel aplicacion... y hacer un bruteforce puede tardar muuucho tiempo...
Saludos!, Diego On 3/28/07, Claudio M. E. Bastos Iorio <[EMAIL PROTECTED]> wrote:
Buenas, me podrian dar su opinion/consejos al respecto? O como se manejan Uds. con esto? Normalmente, utilizo el metodo get y recupero por querystring un "Id" que corresponde a cierto registro de una base de datos. Ej: http://servidor/pagina.aspx?IdUsuario=555 . Para evitar que la informacion de ese usuario en este ejemplo la obtenga alquien que manipule la URL, le agrego a la cadena un string "random" que en la bd
tengo
asociado a ese Id, quedando asi Ej: http://servidor/pagina.aspx?IdUsuario=555&key=bhjbb43b3lksajk43k4l5ljk45 Hay alguna manera mas "efectiva" de realizar esto? Me refiero obviamente a aquellas situaciones donde no se puede utilizar sessions, cookies, etc. Seguramente haciendo un hash de la url con el Id, pero no resulta mas vulnerable? Desde ya muchas gracias ___________________________________ Claudio M. E. Bastos Iorio
