Alternativa a la función posix_getuid en Windows

[dec]

Hola,

PHP sigue jugando un poco conmigo, y, últimamente, estoy tratando de reutilizar cierta clase que sirve para autentificar a un usuario en una determinada "aplicación Web". Bien. El caso es que en dicha clase se hace uso de la función "posix_getuid", la cual no está disponible en Windows (que es lo que estoy utilizando yo) y me gustaría saber si existe alguna alternativa a dicha función.

Añado, porque me parece crucial, que la función "posix_getuid", se utiliza en la clase a que me he referido para algo muy concreto: se trata de obtener el identificador de usuario, con el fin de sustraer sus dos primeros caracteres, los cuales, a su vez, se utilizan para cifrar cierta cadena de forma segura.

Es decir, la posible alternativa debería de pasar (si no me equivoco y me expreso bien) por conseguir (sea en Windows, sea en GNU/Linux) un dato similar al que se obtiene con la función "posix_getuid", algo "único", que dependa del usuario que esté visitando la página Web en cuestión. ¿Se os ocurre algo?

De antemano, muchas gracias. Si necesitáis más información o que aclare algo no dudéis en hacérmelo saber. Bien. Gracias de nuevo.

Nota: añado la escueta descripción de la función "posix_getuid" por si vale para hacerse una idea:

Cita:

Empezado por Manual de PHP

Return the numeric real user ID of the current process.

[roman]

Cuando de la web se trata, donde acceden usuarios de múltiples sistemas operativos, hacer código exclusivo para ambientes unix me parece bobo (no tú, el código que encontraste) así que yo buscaría otras opciones. Como lo único que sabemos de lo que estás haciendo es que es cierta aplicación que usa cierto código, pues es difícil decir mucho. Pero en general, opino que un sistema de autentificación de usuarios para un sitio web, normalmente te lo implementarás tú mismo en lugar de basarte en el sistema de usuarios del sistema operativo donde se ejecute el servidor. Esto quizá sería válido en una intranet, no sé. Es mejor que uses tu propia base de datos con tu tabla de usuarios y autentifiques contra esta base. Y de sistemas de usuarios para sitios web estoy seguro de que encontrarás muchísima información y muchos ya implementados.

En definitiva, me olvidaría de ciertas clases pensadas sólo para ciertos sistemas.

// Saludos

[dec]

Hola,

Gracias por responder Román. Bueno. En realidad la clase es lo bastante genérica como para poder reutilizarla sin problemas. Me explico. Efectivamente, la autentificación del usuario se contrasta con información de cierta base de datos, es decir, la funcionalidad de "posix_getuid", en realidad, tiene y no tiene que ver con la autentificación. A ver si soy más claro.

El sistema de autentificación, que no me parece mal, y que funciona bastante bien (en mi opinión), se basa en el empleo de "cookies". Un par de "cookies", concretamente. En una de ellas se almacena el "nombre" del usuario y su "contraseña". Pero, esta información se cifra primero, no se guarda tal cual.

Es en el cifrado de la cadena que se guarda en la "cookie" en donde se hace uso de la función "posix_getiud". ¿Para qué? ¿Con qué finalidad? Pues, a mi entender, se hace para evitar en lo posible la manipulación de la "cookie" que nos interesa.

Puesto que la función "posix_getuid" nos devuelve un identificador "único" del usuario de nuestra página (eso entiendo yo de la descripción de la función, la cual es bastante escueta, como arriba puede verse), las dos primeras cifras de ese identificador son utilizadas como "salto" para cifrar la cadena que guardamos luego en la "cookie".

Entonces, yo puedo cifrar la cadena con otro "salto", con uno escogido al azar, por mí, pero, ¿no estaría eso propiciando una posible manipulación de la "cookie"? Puesto que no sé cómo se podría descifrar, aún así (puesto que la función "crpyt" que utilizo no "descifra", solamente "cifra"), de todos modos, pensaba en encontrar una alternativa a la función "posix_getuid".

Por cierto, la clase en la que me estoy basando pertenece al proyecto Menéame, el cual es de código abierto. Concretamente se encontrará en el archivo "login.php" dentro de la carpeta "libs" del directorio raiz de dicho proyecto. Esto lo digo, ya puestos, por dos cosas: por agradecer a Ricardo Galli que publicara el código fuente de Menéame, y por que veas, Román, que el proyecto es un sitio Web no para "intranets", aunque tal vez pudieran ir los tiros por ahí, reconozco que puedo equivocarme.

Gracias otra vez Román.

[roman]

Vamos a ver, pon este script en un servidor unix/apache:

Código PHP:

<?
$uid = posix_getuid();
$info = posix_getpwuid($uid);
?>
<pre>
<?
print_r($info);
?>
</pre>

La salida será similar a esta:

Código:

Array
(
    [name] => apache
    [passwd] => x
    [uid] => 1000
    [gid] => 105
    [gecos] => 
    [dir] => /var/www
    [shell] => /bin/false
)

Es decir, hasta donde yo veo, nada útil como para discernir de qué usuario se trata. apache es el usuario del sistema unix encargado de procesar las peticiones http y será el mismo para cualquier visitante de manera que no entiendo cómo es que usa esto para relacionar con el usuario de la página. A final de cuentas, ¿qué se entiende por usuario de la página? En un sistema como estos foros, hay un concepto claro de usuario: el que establece vBulletin. En general, el visitante es, hasta cierto punto, anónimo, identificable quizá con datos como la ip desde la cual navega, pero claro está que ésta depende no del usuario sino de la máquina que esté usando en un momento determinado.

En fin, que me parece bastante extraño el uso de funciones POSIX, y a juzgar por los escasos comentarios al respecto en el manual, no parece ser algo que se use mucho.

// Saludos

[roman]

¡Caramba dec! Quizá falla mi vista (aunque también el Ctrl+F) pero el caso es que he bajado la librería que mencionas:

http://meneame.net/archives/meneame-src.tgz

y en libs/login.php no encuentro ninguna referencia a nada de posix.

// Saludos

[dec]

Hola,

Gracias por responder Román. Voy entendiendo que tal vez podría utilizarse "cualquier otra" cosa para conseguir el mismo o muy parecido fin que se persigue al hacer uso de la función "posix_getuid". Pienso que, por ejemplo, si el código fuente de la aplicación llegara a publicarse, alguien podría ver cómo se guardan determinadas "cookies", de qué manera, de forma que luego pudiera "manipularlas".

En todo caso esto no me queda nada claro. Se ve que estoy aún muy, pero que muy verde en este tipo de aplicaciones. Je, lo digo como si en otra cosa no estuviera verde aún, pero, bueno. El verde es un color bonito, no como el azul, o el marrón, menudos colores, buah.

Cita:

Empezado por Román

(...) y en libs/login.php no encuentro ninguna referencia a nada de posix.

¡Pues tienes razón! Debí haber previsto algo así... Resulta que yo no estaba utilizando la última versión del código fuente de Menéame, así que he descargado ahora mismo la versión "más actual" y, como dices, no se hace uso ya de la función "posix_getuid" en donde antes se hacía uso de ella.

Debo echar un vistazo, pues, a cómo se lleva a cabo la tarea ahora. Debo tratar de adaptar también la clase de que yo me estoy valiendo para que se olvide de una vez por todas de la función "posix_getuid", al menos para lo que estamos tratando, pues veo que el propio "original" descartó utilizarla.

No sé si habrá quedado muy clara mi exposición del tema, pero, creo que he referido más o menos inteligiblemente para qué pienso yo que se utilizaba dicha función en el código fuente indicado, con qué fin, qué objetivo se perseguía con su utilización.

También puede ser que me equivocara, y que se hiciera uso de esa función con otros fines, pero, me da a mí que es como he dicho, o es lo que puedo deducir del código fuente, vaya.

Ante la duda, voy a copiar aquí el código fuente de la clase que yo estaba tratando de adaptar, de tal modo que alguien pueda percatarse de otro uso de la función "posix_getuid" que no sea el uso que yo le preveía.

Código PHP:

// The source code packaged with this file is Free Software, Copyright (C) 2005 by
// Ricardo Galli <gallir at uib dot es>.
// It's licensed under the AFFERO GENERAL PUBLIC LICENSE unless stated otherwise.
// You can get copies of the licenses here:
//         http://www.affero.org/oagpl.html
// AFFERO GENERAL PUBLIC LICENSE is also included in the file called "COPYING".



class UserAuth {
    var $user_id  = 0;
    var $user_login = '';
    var $md5_pass = '';
    var $authenticated = FALSE;
    var $user_level='';


    function UserAuth() {
        global $db;

        if(isset($_COOKIE['mnm_user']) && isset($_COOKIE['mnm_key']) && $_COOKIE['mnm_user'] !== '') {
            // Si ya está autentificado de antes, rellenamos la estructura.
            $userInfo=explode(":", base64_decode($_REQUEST['mnm_key']));
            if(crypt($userInfo[0], substr(posix_getuid(),0,2))===$userInfo[1] 
                && $_COOKIE['mnm_user'] === $userInfo[0]) {
                $dbusername = $db->escape($_COOKIE['mnm_user']);
                $dbuser=$db->get_row("SELECT user_id, user_pass, user_level FROM users WHERE user_login = '$dbusername'");
                if ($dbuser->user_pass == 'SPAMMER') return;
                if($dbuser->user_id > 0 && md5($dbuser->user_pass)==$userInfo[2]) {
                    $this->user_id = $dbuser->user_id;
                    $this->user_login  = $userInfo[0];
                    $this->md5_pass = $userInfo[2];
                    $this->user_level = $dbuser->user_level;
                    $this->authenticated = TRUE;
                }
            }
        }
    }


    function SetIDCookie($what, $remember) {
        switch ($what) {
            case 0:    // Borra cookie, logout
                setcookie ("mnm_user", "", time()-3600); // Expiramos el cookie
                setcookie ("mnm_key", "", time()-3600); // Expiramos el cookie
                break;
            case 1: //Usuario logeado, actualiza el cookie
                // Atencion, cambiar aqu�cuando se cambie el password de base de datos a MD5
                $strCookie=base64_encode(join(':',
                    array(
                        $this->user_login,
                        crypt($this->user_login, substr(posix_getuid(),0,2)),
                        $this->md5_pass)
                    )
                );
                if($remember) $time = time() + 3600000; // Lo dejamos v�idos por 1000 horas
                else $time = 0;
                setcookie("mnm_user", $this->user_login, $time);
                setcookie("mnm_key", $strCookie, $time);
                break;
        }
    }

    function Authenticate($username, $pass, $remember=false) {
        global $db;
        $dbusername=$db->escape($username);
        $user=$db->get_row("SELECT user_id, user_pass, user_level FROM users WHERE user_login = '$dbusername'");
        if ($pass == 'SPAMMER' || $user->user_pass == 'SPAMMER') return false;
        if ($user->user_id > 0 && $user->user_pass === $pass) {
            $this->user_login = $username;
            $this->user_id = $user->user_id;
            $this->authenticated = TRUE;
            $this->md5_pass = md5($user->user_pass);
            $this->user_level = $user->user_level;
            $this->SetIDCookie(1, $remember);
            return true;
        }
        return false;
    }

    function Logout($url='./') {
        $this->user_login = "";
        $this->authenticated = FALSE;
        $this->SetIDCookie (0);

        //header("Pragma: no-cache");
        header("Cache-Control: no-cache, must-revalidate");
        header("Location: $url");
        header("Expires: " . gmdate("r", time()-3600));
        header("ETag: \"logingout" . time(). "\"");
        die;
    }

}

$current_user = new UserAuth(); 


Bueno. Seguiremos adelante, por el momento. Muchas gracias por responder otra vez Román.