Cita:
Iniciado por leonaryoel 
Saludos colegas. Resulta que me viene una duda respecto a la seguridad y los tocken.
He estado leyendo sobre la seguridad web para inicio de sesión y manejo de sesiones php ($_SESSION). En lo que he leido se recomienda no guardar los usuarios y claves en las cookies, por logica, esto es fatal. En cambio recomiendan crear un token que te sirva para identificar al usuario y que cambie cada vez que se inicia sesión. Luego en la parte donde evalúas el usuario y contraseña desde el formulario de inicio de sesión, agrega un if donde verifiques si la cookie existe, buscar el token que contiene y si corresponde a algún usuario entonces usa esos datos.
Todo correcto, la duda mia es.. por ejemplo, a la hora de crear el usuario le asigno un toker único en la BD en un campo. Y al abrir la web compruebo si la cookie token existe y comparo, si existe inicio sesion y cambio la token actualizandola en la BD.
Si yo lo hago de esta manera, y salgo de la web, la cookie token permanece registrando el token de ese usuario la cual esta en BD. Si alguien me extrae la cookie token de mi usuario supongo que la puede usar, ya que al usarla esa cookie que tiene al ser comprobada va a ser igual que la existente en BD ciento?
Si es así mi seguridad se fue a la mierda... Como puedo prevenir esto. A lo mejor soy yo el que no entiende el concepto de ¨crear un token que te sirva para identificar al usuario y que cambie cada vez que se inicia sesión¨....
Por favor alguien que me pueda explicar mejor, he leido sobre esto y es todo loque logro entender...
lo que debes hacer, en caso de que hipoteticamente se roben la cookies, eso suele pasar mas por fallo del usuario, por no tener un navegador actualizado o iniciar session en un cafe internet donde tienen sniffers y demas
quieres reforzar la seguridad de tu web, pues usa SSL
en tu cookie de session Aparte de ponerle tiempo de caducidad, debes guardar otro tipo de informacion, que venga relacionado a la cookie, como por EJEMPLO "IP", "Tipo de Navegador" asi si alguien le roba la cookie, para usar esa cookie, debera tambien tener la IP de la cookie y tener las mismas cabeceras de navegador , cosa que se puede lograr hacer, pero eso ya seria fallo del usuario, por ejemplo lo de falsear la IP es muy dificil de hacerlo, y dificil me refiero a tener equipos muy costosos o millares de equipos para hacer IP SPOOF, etc.
asi que con las 2 cosas que te indique como el IP y las cabeceras de navegador, estaras sobrado, almenos que en tu web, sea informacion de alto secreto, de transacciones muy pero muy delicadas, de apuestas ilegales , trata y trafico, venta de marcianos , etc etc.
para eso lo comun es usar CONEXION Activa y encriptada, en WEB el equivalente seria WEBSOCKET sobre SSL, o para mucho mas seguridad, crearte tu propio protocolo de seguridad con encriptacion de datos