En GEEKBOX estuvimos haciendo las primeras pruebas de registro para el juego Brooks Brothers Mundial, y parte de este proceso correspondía a enviar correos a los usuarios que se registraban para poder validar sus cuentas. Estos correos se autogeneraban vía PHP y se enviaban con la típica funcion mail().

Resulta que extrañamente los correos dirigidos a cuentas de hotmail no llegaban (ni siquiera al spam), pues el sistema interno de hotmail los bloqueaba al ser generados por programación. La duda que le da a este servicio de correo (por la cual no quería aceptar los correos) era que éstos se enviaban desde una dirección IP xxx.xxx.xxx.xxx (la de los servidores del servicio de alojamiento), pero no era necesariamente la misma IP que la que utiliza el sitio en cuestión (que tiene una de las tantas direcciones IP de los servidores). Esto quiere decir que estos correos le producían “desconfianza” porque no sabía con certeza si eran enviados por terceros utilizando una dirección falsa o si eran enviados REALMENTE por el sitio. Asique, “ante la duda abstente” y ellos lo rechazan.

En resumidas cuentas no llegaban los correos y necesitaba una solución.

La solución!

Buscando y buscando logré entender como se tiene que hacer para que esto no ocurra: el concepto principal es asociarle a nuestro servidor un dato que defina cuales son las direcciones IP válidas para enviar correos “autorizados” por el sitio. Este “dato” es un “registro” (como los típicos registros A o CNAME) del tipo TXT que define los valores (IPs) para que los sistemas de correo (como Hotmail) puedan consultarle. Este “dato” es el llamado registro SPF o SPF record (Sender Policy Framework).

En resumidas cuentas, si Hotmail ve que le están enviando un correo desde la IP xxx.xxx.xxx.xxx diciendo que viene desde tusitio.com, se conectará tusitio.com y consultará si dentro de sus registros del tipo TXT hay alguno que tenga la información de los SPF. Si la encuntra, consultará cuales son las direcciones IP autorizadas desde las cuales el sitio enviará correos. Si todo está en orden (la IP desde donde se envía el correo calza con la autorizada por el servidor) recibirá el correo sin problemas; si no, lo rechazará y probablemente asumirá como que el correo nunca existió.

Un ejemplo de registro TXT que contiene esta información es el siguiente (para Dreamhost):

v=spf1 ip4:64.111.100.0/24 ip4:66.33.201.0/24 ip4:66.33.216.0/24 ip4:208.97.132.0/24
ip4:208.97.187.0/24 ip4:208.113.200.0/24 ip4:208.113.244.0/24 ip4:208.113.175.0/24 mx -all

Este dato se le asocia al servidor y listo. Luego de un rato todo debería funcionar normalmente.

Hay que tener en consideración que los SPF son independientes para cada subdominio. Es decir, que si los aplicas en tudominio.com, no van a ser considerados para tusubdominio.tudominio.com. Hotmail no los considera el mismo sitio (pues no lo son).

Para saber si tu servidor tiene asociado algún registro SPF puedes visitar este sitio de microsoft donde revisa los registros A, MX y SPF de tu servidor. Si encuentra algún SPF te lo muestra, sino, te muestra los registros MX para que puedas crear (con su wizard) los registros que necesitas.

Para quienes no estén muy familiarizados con todos los conceptos, les describo algunos poco comunes:

Canonicalización: escoger la mejor URL para mostrar una página (o nuestro sitio web).
Googlebot: es el “robot” de Google, que lee nuestras páginas web para agregarlas a su base de datos.

Vía Ayuda WordPress

Con este truco, podemos evitar que los usuarios intenten ingresar números en las casillas donde se les pregunta el nombre, o mejor aún, evitar que los hackers intenten ingresar algún código malicioso para que sea procesado por el archivo que recibirá los datos enviados.

La manera de hacerlo es muy simple. Se debe agregar la siguiente línea:

inputEmail.restrict = "A-Za-z0-9.@_";

El ejemplo anterior, limita a la casilla “inputEmail” (ese es el nombre de instancia que tiene la casilla de nuestro ejemplo) a que en ella sólo se puedan escribir los caracteres definidos (las letras de la “A” a la “Z”, y de la “a” a la “z”, los números del 0 al 9, el punto, la arroba y el guión bajo). Este ejemplo se usa para limitar los inputs donde necesitamos que el visitante ingrese su email.

Si la casilla “inputEmail”, está alojada en el _root, sólo bastaría con escribir esa línea en el AS del primer fotograma de nuestra película donde aparezca esta casilla.

Si la casilla de ingreso de texto se encuentra dentro de un movieclip, sólamente se debe hacer lo mismo, en el onLoad del movieclip.

onClipEvent (load) {
    this.inputEmail.restrict = "A-Za-z0-9.@_";
}

La función

Para recibir variables mediante JavaScript, sería necesario utilizar una función como la siguiente, la cual debería ir al principio de la página (dentro de la etiqueta HEAD):

<script type="text/javascript">
query=window.location.search.substring(1);
q=query.split("&");
vars=[];
for(i=0;i<q.length;i++){
    x=q[i].split("=");
    k=x[0];
    v=x[1];
    vars[k]=v;
}
</script>

De esta manera, todas las variables quedarían almacenadas en un array asociativo, del cual podríamos obtener todos los datos en cualquier minuto.

Un ejemplo

Suponiendo que en la URL recibimos una estructura como la siguiente:

http://www.sebastianbarria.com/?animal=perro&nombre=bobby

para poder llamar a una variable, solamente habría que llamarla así:

vars['animal']
vars['nombre']

Seguridad

Está claro que el tema de la seguridad es muy importante en una página web, por lo tanto siempre hay que tener cuidado cuando se utiliza JavaScript. Yo recomiendo que JavaScript se utilice únicamente cuando no se comprometa información importante, que debe ser resguardada y validada.

Por ejemplo, si el registro en un sitio depende de un Javascript que recibe algún dato importante, no se puede permitir recibir y volver a enviar el mismo dato sin validarlo, pues en el camino puede ser modificada la URL y toda la “seguridad” del sitio se vería comprometida. En ese caso, se debería utilizar lenguajes de programación más avanzados, que se ejecuten en el servidor, y no en el cliente, como PHP, ASP, Java, etc.

A continuación veremos algunas alternativas que se utilizan según las necesidades de cada tipo de sitio, para proteger las direcciones de correo, ya sea las propias, o las de nuestros visitantes.:

Imágenes generadas manualmente

Una de las soluciones básicas al pensar en crear una imágen de una dirección de correo es la de generar manualmente en algún editor de imágenes la dirección de correo. Esto sería, por ejemplo, escribiéndola en Photoshop, y exportándola como .gif o .jpg para utilizarla en el sitio en reemplazo del texto.

De esta manera, ningún software podría detectar la dirección de correo si mira el código fuente de la página (a menos, por supuesto, que a algún “inteligente” se le ocurra ponerle como nombre a la foto la misma dirección de correo).

En este caso (y en todos los generados con imágenes), es necesario preocuparse bien de la tipografía, color, tamaño y color de fondo que se desea.

Utilizar un generador de imágenes

Existen muchas alternativas de sitios web o software que permiten crear automáticamente estas imágenes:

• http://www.spam-proof-email-generator.com/
• http://services.nexodyne.com/email/index_custom.php

El proceso es prácticamente el mismo que el del paso anterior, solamente que esta vez no hay que utilizar ningún software específico. Se ingresa a la página, se escribe la dirección de correo y después se configuran las variables necesarias. Se genera y se guarda.

Autogenerar las imágenes

Acá se pone “avanzada” la cosa. El hecho de autogenerar las imágenes implica utilizar lenguajes de programación como PHP o ASP, para llamar a funciones que toman una palabra y generan una imágen. En el fondo, el mismo proceso (nuevamente) que los casos anteriores, pero “hecho en casa”, sin necesidad de recurrir a otros sitios.

Los benecios de esto es que se puede utilizar de manera automática. Por ejemplo si tienes un blog y quieres mostrar las direcciones de correo de todos los que comentan (no es muy recomendado en todo caso, pero ahora da lo mismo porque es un ejemplo), puedes utilizar una función de php que genere la imágen, utilizando un código similar a este nombreFuncion(“tucorreo@ejemplo.com”), tal como se explica, por ejemplo, en http://www.peoplecnc.com/como_ocultar_email_correo.html.

Autogenerar las imágenes desde un sitio externo

Y como no podía faltar, más de algún sitio web ofrece el servicio de enmascarar las direcciones de manera externa, como http://www.houseoftech.com/scripts.php, dando la posibilidad de enviar los datos de manera encriptada (es lo más recomendado), y de utilizar distintas tipografías colores y tamaños.

Reemplazar la arroba (@)

El título lo dice: otra alternativa es la de reemplazar la arroba (@) por una imágen de la arroba, por lo tanto, la dirección tucorreo@ejemplo.com, quedaría como tucorreo<img src=”arroba.jpg” alt=”@”>ejemplo.com.

Incluso es posible llamar a una foto que no existe, para que aparezca la “@” del “alt”. No es lo más seguro que hay, pero con esto ya se dificulta bastante que los robots detecten la dirección de correo.

Este método también permite hacerlo de manera automatizada (para todos los comentarios de un blog, por ejemplo), y se debería hacer reemplazando la arroba de la dirección de email por el código de la imágen.

Otra alternativa para reemplazar la arroba

Lo que tenemos que hacer es escribir nuestro correo de la siguiente manera:

micorreo<span id="reemplazar">(arroba)</span>misitio.com

Si se fijan, la @ está representada por la palabra “(arroba)”, la cual está dentro de un span que tiene el ID “reemplazar“. De esta manera:

• Los robots que visiten la página (al ver sólo el código) verán toda esa línea, y por lo tanto, es muy difícil que lo consideren como una dirección de correo válida.
• Los humanos (al no ver el código) verán micorreo(arroba)misitio.com, que para una persona común y corriente es completamente entendible.

El truco ahora está en aplicar la siguiente función de javascript.

var reemplazable=document.getElementById('reemplazar');
reemplazables[i].innerHTML="@";

La funcion toma el span que tiene el ID reemplazar y reemplaza su contenido (innerHTML) por una arroba. Y voila!, simple y eficiente. Ahora los visitantes (que tengan javascript habilitado porsupuesto) verán el email como cualquier email, e incluso lo podrán copiar/pegar.

¿Y si no tengo javascript habilitado?, se preguntarán muchos. A esta altura todos los navegadores modernos (e incluso IE6, jaja) tienen soporte para javascript, y es muy raro que una persona navegue sin javascript habilitado.

A los que probablemente si les afecte es a los que navegan desde un teléfono móvil, pero de todas formas, ellos y esos extrañísimos casos que navegan sin javascript habilitado, verán micorreo(arroba)misitio.com, lo cual no debería ser un problema.

Enmascarar emails

Otra alternativa es la de enmascarar las direcciones de correo, que corresponde a ocultar las direcciones con caracteres especiales (codificados).

Existen dos maneras de hacer esto: una es utilizando un ofuscador de email, como el de http://www.codehouse.com/webmaster_tools/email_obfuscator/, que permite codificar una dirección de correo que se ingrese, lo cual es muy útil para poner la propia dirección de correo. La otra manera es haciéndolo de manera propia, llamando a una función de PHP, como se explica en http://digitalcolony.com/2007/05/masking-email-addresses-in-php.aspx (muy buen ejemplo).

Y aún hay más

Las anteriores son, a grandes rasgos, las mejores alternativas para proteger las direcciones de correo. Sin embargo, existen otras alternativas (NO TAN SEGURAS), como enmascarar las direcciones a través de javascript, utilizando un simple código como este:

<script language=javascript>
	<!--
	function enmascarar(user,host){
		document.write(user+"@"+host);
	}
	//-->
</script>

Creo que es muy importante que todos tomemos conciencia de lo que implica publicar las direcciones de correo sin ningún tipo de protección. Por lo mismo, debemos intentar siempre utilizar métodos como los mencionados en este post para proteger a nuestras visitas y a quienes quieran cooperar comentando en nuestros sitios.

• Los usuarios y sus privilegios (en MySQL)
• La configuración de apache
• El filtrado de formularios y URL’s

Este post está enfocado, principalmente, a quienes pretenden montar un servidor en su computador (localhost) pues, por lo menos en los servidores pagados, la seguridad con los privilegios de MySQL está implementada.

Los problemas de seguridad

Los usuarios y sus privilegios (en MySQL)

El principal problema de montar un servidor en casa (localhost), es que los software que se utilizan para esto – EasyPHP, Appserv, etc – vienen con usuarios por defecto… el famoso “_root” sin contraseña. Esto implica que cualquier persona con un poco de conocimientos de hackeo, pueda botar la base de datos u obtener información de ella si es que el usuario por defecto no se cambia (ya que el hacker sabría que el nombre de usuario es “_root” y no tiene contraseña).

La configuración de apache

Además de eso, está el problema de configuración de apache, pues appserv, por ejemplo, establece todas las variables como globales por defecto (por ejemplo, si recibo una variable por el metodo “POST”, simplemente escribo “echo $nombre_de_la_variable” para mostrarla en pantalla). Si bien las variables globales son más cómodas, implican riesgos en seguridad y confusión, porque si se necesita recibir la variable “admin_pass” por el método POST y el “hacker” escribe una url como “…index.php?admin_pass=miclave“, se estaría recibiendo la variable por otro método y poniendo en riesgo la seguridad del sitio.

El filtrado de formularios y URL’s

Otro problema es la seguridad con PHP, pues si no se filtra la información recibida a través de formularios o de la URL, se esta dando pie para que gente mal intencionada ejecute scripts que pongan en riesgo la seguridad de nuestro sitio.

Las soluciones

Antes que nada, se debe definir el software a utilizar. Por mi parte, y por conceptos de seguridad, yo recomiendo EasyPHP, pues es mucho mas “paranoico” que Appserv, y viene mucho más limitado en conceptos de seguridad y mensajes de error; es decir, que viene “mejor configurado” (en conceptos de seguridad) por defecto, y no hay que preocuparse de cambiar muchas cosas.

Por esto, la siguiente solución la veremos específicamente para EasyPHP (aunque también se aplica para Appserv).

Los usuarios y sus privilegios (en MySQL)

Lo primero que se debería hacer, al montar un servidor en casa, es definir un usuario que tenga todos los privilegios necesarios para administrar nuestro sitio.

Para esto, hay que realizar las siguientes operaciones:

1. Ir a PhpMyAdmin (la administración de MySQL) y crear un nuevo usuario (o modificar “_root”) con un username y un password que no sea tan obvio.
2. Abrir el archivo de configuración llamado “config.inc.php” (ubicado en …EasyPHP1-8\phpmyadmin\), las variables $cfg['Servers'][$i]['user'] = ‘_root’; y $cfg['Servers'][$i]['password'] = ”;, y poner ahí el username y password definido para el administrador de MySQL en el paso anterior.
3. Eliminar el usuario “_root” (en el caso de haber creado otro usuario para la administración), pues si se deja, el sitio seguirá siendo inseguro.

A partir de este punto, si se quiere, se puede crear otro usuario con menos privilegios (por ejemplo que no pueda crear o eliminar tablas), que sea con el que nos conectemos desde el sitio y, de esta manera, correr menos riesgos.

La configuración de apache

El tema de la configuración pasa, primero, por elegir el servidor adecuado. En el caso de EasyPHP, la configuración por defecto es bastante buena si hablamos de seguridad, pero hay que fijarse bien (a la hora de programar) en solucionar todos los errores y en los mensajes de error que devuelve, pues aveces dice “imposible conectar a la base de datos MiBase”, por lo que estaríamos entregando información privada el importante.

Hay otros conceptos que son más técnicos (y que no serán abordados en este post), como la cantidad de usuarios máximos conectados a la base de datos, y que hacer cuando se sobrepasan los límites; los tamaños de los archivos que se pueden subir; los privilegios de las carpetas, etc que se deben tener en cuenta a la hora de configurar el servidor.

El filtrado de formularios y URL’s

Personalmente, he ido creando mis propias funciones de seguridad para filtrar las entradas por cookies, formularios, y los métodos GET y POST.

Las funciones, las almaceno en un archivo validar.php y luego, simplemente, las inserto al principio de cada uno de mis archivos donde necesite validar variables (a través del comando include(“validar.php”);).

La manera de utilizarlas, es definiendo las variables de la manera:

$mi_variable=varpost("nombre_de_la_variable_a_recibir" , "valor en caso de no encontrarse la variable" , largo en caracteres);

Después de eso, solo queda utilizar $mi_variable en mi archivo php. Esto asegura que la variable quedará definida (y no aparecerán mensajes de error por variables no definidas). También asegura recibir la variable por el método especificado (y no por otro) y definirle un tamaño máximo (para no recibir, por ejemplo, mensajes de 12404502345023 caracteres).

Las funciones son las siguientes:

function validar( $variable, $tam ){
 $va=htmlentities($variable,ENT_QUOTES,"UTF-8");
 mysql_escape_string($va);
 $va=substr ($va, 0, $tam);
 return $va;
}

function varget($valor, $vacio, $tam){
 if (empty($_GET[$valor])) { $res=$vacio; }
 else { $res=validar($_GET[$valor],$tam); }
 return $res;
}

function varpost($valor, $vacio, $tam){
 if (empty($_POST[$valor])) { $res=$vacio; }
 else { $res=validar($_POST[$valor],$tam); }
 return $res;
}

function varcookie($valor, $vacio, $tam){
 if (empty($_COOKIE[$valor])) { $res=$vacio; }
 else { $res=validar($_COOKIE[$valor],$tam); }
 return $res;
}

function varsess($valor, $vacio, $tam){
 if (empty($_SESSION[$valor])) { $res=$vacio; }
 else { $res=validar($_SESSION[$valor],$tam); }
 return $res;
}

Conclusión

Estas son algunas de las medidas de seguridad básicas para no pasar por inculto a la hora de diseñar un sitio y de montar un servidor casero.

Espero que quien las lea las tome en cuenta, las aproveche; mejoren las funciones de seguridad y las adecuen para satisfacer las necesidades de su sitio.