CGI - Sesión de usuario

Bien... me he metido con Perl y CGI hasta el cuello. Necesito hacer un programa CGI para el mantenimiento de usuarios. Necesito hacer un programa que permita a los usuarios modificar sus datos o darse de baja. Pido el el user-id y la password, valido y si todo esta ok, el muestro los datos al usuario para que haga los cambios necesarios. Ahora bien... Que pasa si el usuario guarda esa página como favoritos o como ya se que el usuario que responde ese formulario es el mismo a quién yo se lo envié? O yo soy un paranoico? Muchas gracias

Es genial que estés trabajando con Perl y CGI para crear una aplicación de mantenimiento de usuarios. Sin embargo, tus preocupaciones por la seguridad son válidas. Aquí tienes algunas indicaciones para abordar las cuestiones de seguridad y mantener la integridad de tu aplicación:

1. Sesiones seguras: Implementa un sistema de sesiones seguro. Asigna una cookie de sesión única cuando un usuario inicia sesión y almacena esa información en el servidor. Esto evitará que alguien más utilice un enlace guardado en favoritos para acceder a la página de mantenimiento.

2. Tokens CSRF: Genera tokens CSRF (Cross-Site Request Forgery) únicos para cada formulario. Estos tokens previenen que un atacante engañe al usuario para que realice acciones no deseadas.

3. Expiración de sesiones: Establece un tiempo de expiración para las sesiones. Si un usuario no realiza acciones después de un tiempo determinado, su sesión debería caducar y requerir autenticación nuevamente.

4. Autenticación robusta: Asegúrate de que la autenticación sea sólida. Utiliza algoritmos seguros para almacenar las contraseñas, como el hash bcrypt, y asegúrate de que las contraseñas no se transmitan en texto plano.

5. Límites de acceso: Limita el acceso a las funcionalidades de edición y eliminación solo a los usuarios autenticados y autorizados. Comprueba los permisos antes de procesar cualquier solicitud.

6. Evitar datos sensibles en URLs: Evita incluir información sensible como contraseñas en URLs, ya que estos pueden quedar expuestos en los registros del navegador o en las URLs guardadas como favoritos.

7. Uso de HTTPS: Asegúrate de que tu sitio utilice HTTPS para proteger la comunicación entre el cliente y el servidor, evitando así la interceptación de datos sensibles.

8. Validación de entradas: Valida y filtra todas las entradas de usuario para evitar inyecciones de código malicioso. Usa métodos como escapar caracteres especiales o realizar validaciones estrictas.

9. Registros y auditoría: Lleva un registro de todas las actividades realizadas por los usuarios, como cambios en los datos o acciones de eliminación. Esto te permitirá rastrear cualquier comportamiento sospechoso.

10. Pruebas rigurosas: Realiza pruebas exhaustivas en todas las funcionalidades de la aplicación, incluyendo pruebas de seguridad y vulnerabilidades conocidas.

En resumen, no eres paranoico, estás tomando precauciones adecuadas para garantizar la seguridad de tu aplicación. Siguiendo estas indicaciones, puedes desarrollar una aplicación de mantenimiento de usuarios robusta y segura.