Cita:
Iniciado por Molxa En primer lugar, gracias por vuestras respuestas.
Qwerty_wq , no es eso a lo que me refería, pero gracias por preguntar.
Cluster, ya sabía que la solución que apuntabas no era en absoluto segura, pero si la única solución son el uso de cookies de sesión en PHP, entonces me pregunto qué tecnología usan los bancos, por ejemplo. Imagino que se tratará de aplicaciones creadas con Java...un saludo.
Pues usa lo mismo identificadores que propagan por el HTTP y validan por otros médios. (una pequeña introducción:
http://www.ecerami.com/applied_sprin.../session_2.ppt)
Lo único es que esos bancos usa SSL y tu aplicación también podría usarlo .. por lo menos para no ir dejando el SID en cachés de proxys ni navegadores .. o que sea capturado por un sniffer en una LAN.
Lo que no evitaras en ningún sistema (en PHP propagando el SID en el URL) es que un usuario pase un link a otro usuario (en un foro .. por e-mail .. en un chat) con el SID de una sesión activa en ese instante, por ende si propagas el SID en el URL lo que hay que tener buen cuidado es en los tiempos de expiración de tus sesiones para mitigar el problema.
De todas formas ... la gestión de sesiones "nativa" de PHP no es el único método .. de hecho hay muchos otros "códigos" por ahí para mejorarlos (sobre todo la "pésima" gestión del tiempo de expiración de una sesión que PHP dá como soporte = null). En sitios como
www.phpclasses.org he visto vários sistemas alternativos o complementarios al tratamiento de sesiones de PHP nativo .. revisalos, pruebalos y decide.
No sé has leido este documento sobre el tema (de los problemas con propagar el SID en el URL):
http://www.acros.si/papers/session_fixation.pdf
Un saludo,