Buenas, la pregunta no tiene mucho que ver con rails pero como si lo
implementare en rails para mi “cutre blog” os lo pregunto para
conocer vuestra
opinión.
Cuando un usuario accede a un sitio restringido (un panel de
administración de contenidos por ejemplo) ¿que datos se deben de
guardar?
Yo había pensado en guardar en la base de datos los datos referentes a
ip, usuario, hora de acceso y hora de desconexion
Os parecen pocos? Guardaríais algún dato mas? Guardarías en una tabla
las ip con intentos fallidos de acceso?
Aaaaa, se me olvidaba una duda… como se puede controlar el numero
de intentos “erroneos” a la hora de logarte.
Se controla mediante la ip? Se controla mediante cookies o mediante
sesiones?
Gracias por la
información?Un saludo.
Hola
Para “encontrar” a alguien que realmente te quiere hacer daño no te va a
alcanzar con saber el nro de IP de la conexión. La hora de desconexión
es un
poco relativa, estas suponiendo que va a ir al link “desconectarse”, y
si
cierra el navegador?
Mi opinión es que solo lo resuelvas forzando el uso de contraseñas mas
complicadas, mÃnimo 8 caracteres alfanuméricos con 2 mayúsculas. Si eres
atrevido, no se pueden repetir las 3 últimas contraseñas, se renuevan 1
ves
al mes, con esto te ganarás el odio de muuuchos usuarios ;). Quieres ir
por
mas? el usuario se desactiva al 5 intento erróneo, con esto hasta tu
jefe te
odiará cuando no te encuentre el viernes a las 10 de la noche… (esto
lo
implementarÃa con la sesión, nada del lado del usuario)
De mas está decir que las contraseñas se guardan encriptadas, no hay
camino
de regreso, debes resetearla si te la olvidas.
guardar un log de esa actividad? mmm, para que lo mire quien? cuando?
que
harÃas con esa información? no estoy seguro que tenga algún valor, salvo
que
la información a proteger sea muy sensible y deba ser auditado su
acceso.
mi pequeño rant sobre el tema…
Saludos
Hernán Fernandez
Muchas gracias por la explicación Hernán.
La verdad es que la información que voy a guardar no vale nada, son
solo los post de mi blog lo que pasa es que como estoy aprendiendo
me gusta “liarme la cabeza” y hacer las cosas lo mas completas posibles.
Seguiré tu consejo e implementare el acceso como recomiendas con
contraseñas alfanumericas, cambios de contraseñas cada x días,
desactivación de usuarios (me parecen temas de lo mas “gracioso”)
Lo de la actividad del log pues como que tienes razón (ademas yo seré
el único usuario), pero como ya había empezado a realizarlo mejor lo
termino.
Gracias de nuevo, me ha sido muy útil lo que has comentado para saber
como ir empezando.
Un saludo.