Para hacer una autentificacion de usuarios que es mejor o mas fiable o menos conflictiva en cuanto a compatibilidades
_ Usar cookies
_O usar sesiones
Graciasss
08/02/2006, 11:07
| |||
| |||
| Cookies, sesiones? Hola gente, mi consulta es: Para hacer una autentificacion de usuarios que es mejor o mas fiable o menos conflictiva en cuanto a compatibilidades _ Usar cookies _O usar sesiones Graciasss |
|
08/02/2006, 11:29
| |||
| |||
| Cita: Pues dentro del uso de sesiones, el uso de la propagación del SID en cookies es de lo más seguro si cabe .. así que por mi parte yo aviso a mis usuarios de este hecho para que por lo menos del sitio que necesitan usar lo consideren como confiable y dejen pasar esa cookie.
Iniciado por otraverix Exactamente a eso me referia! Tenia la misma duda y hoy en dia es bastante comun tener bloqueadas las cookies. Graciasss Puedes ver lo que te comento detallado en este documento que PHP.net recomienda al respecto: http://www.acros.si/papers/session_fixation.pdf http://www.php.net/session (en la versión en ingles de la documentación hacer referencia a este documento). Para mi lo más seguro es usar sesiones (pues los datos que almacentan permanecen en el servidor) y propagar el SID (Identificador único de sesiones) en cookies (las que PHP crea ya por defecto si así dedices en tu configuración de PHP propagar el SID). Es un "mito" que el hecho de usar sesiones no se usen a su vez cookies (como el caso mencionado para propagar el SID). Todo depende de la configuración de PHP (o de como la "forcemos" con ciertas funciones: ini_set() y otras de sesiones). Esto hay que tenerlo bien claro a la hora de trabajar con sesiones y si se propaga el SID en el URL .. tener bien claro los problemas de seguridad que nos podría acarrear en "pró" de hacer un sistema más "compatible" con las configuraciones de los navegadores de los usuarios. Un saludo, |
|
08/02/2006, 12:00
| |||
| |||
| Entonces lo ideal será usar sesiones y propagar el SID a través de cookies ya que si lo hago a traves de la URL me suena como absurda la "seguridad", y en todo caso aviso a los usuarios sobre la confiabilidad de la cookie de este site. Gracias por la importante observacion Cluster |
|
08/02/2006, 12:03
| |||
| |||
| Cita: Yo así lo hago, .. así el "paranoico" que no acepta cookies y de verdad controla el tema .. ya verá en su software (navegador u otro paralelo que use) como tu sitio le envia esa Cookie. Si realmente está interesado en usar tus servicios ya aceptará esa cookie. El que desconfié de eso .. siempre lo hará.
Iniciado por otraverix Entonces lo ideal será usar sesiones y propagar el SID a través de cookies ya que si lo hago a traves de la URL me suena como absurda la "seguridad", y en todo caso aviso a los usuarios sobre la confiabilidad de la cookie de este site. Gracias por la importante observacion Cluster Pero hay que recordar que lo único que se propaga en esa "cookie" es el SID (en ningún momento -datos- de tu sesión, eso siempre quedará en el servidor y relacionado con el "cliente" por ese "SID"). Un saludo, |
