Foros del Web » Programando para Internet » PHP »

Consulta sobre SID

Estas en el tema de Consulta sobre SID en el foro de PHP en Foros del Web. Para el tema de las sesiones, siempre he trabajado asumiendo que el servidor está configurado para aceptar la propagación del identificador de sesión por cookies, ...
  #1 (permalink)  
Antiguo 05/04/2005, 16:50
 
Fecha de Ingreso: diciembre-2003
Mensajes: 1.583
Antigüedad: 14 años
Puntos: 13
Consulta sobre SID

Para el tema de las sesiones, siempre he trabajado asumiendo que el servidor está configurado para aceptar la propagación del identificador de sesión por cookies, y ahora que he estado leyendo más sobre el tema me ha entrado la duda.

¿Qué resulta más conveniente?

- Arriesgarse a seguir asumiendo que el servidor tiene activa esa opcion, que también tiene activa la opcion de transparencia para la propagación, y que el usuario final no tiene bloqueadas las cookies.

- Irse a la segura y propagar el identificador via URL:
<a href="pagina.php?<?echo session_name()."=".session_id()?>">

¿En este último caso habría que hacerlo en todos los links y botones del sitio?
__________________
El conocimiento es libre: Movimiento por la Devolución
  #2 (permalink)  
Antiguo 06/04/2005, 12:00
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Cita:
- Arriesgarse a seguir asumiendo que el servidor tiene activa esa opcion, que también tiene activa la opcion de transparencia para la propagación, y que el usuario final no tiene bloqueadas las cookies.
En parte .. a tus usuarios debes avisarles de este hecho para que acepten la cookie que tu sistema (PHP de la propagación del SID en cookies) va a generar si es que realmente quieren usar tu aplicación/sitio. Puedes describirles las ventajas y beneficios si corresponde de que acepten la cookie y que no hay peligro en ellos ni revelación de datos en la cookie por este hecho.

Por lo demás .. siempre puedes "forzar" la configuración (de PHP al menos) a la conveniencia de tu aplicación. Por ejemplo usando ini_set() o un .htacces para dejar tu configuración a tu gusto .. por ejemplo para propagar el SID sólo por cookies: (ini_set("session.use_only_cookies","1"))

Cita:
- Irse a la segura y propagar el identificador via URL:
<a href="pagina.php?<?echo session_name()."=".session_id()?>">
PHP dispone de la directiva: session.use_trans_sid .. la cual ya sobre-escribe ciertos tag's de HTML para inserta en ellos el SID .. así evitas en la mayoría de casos en tu programación tener que hacerlo "a mano" .. Pero, PHP no hace esto en todos los "redireccionamientos" que hagas .. por ejemplo en un header("Location: pagina.tal") no inserta el SID, tampoco en javascript (window.open .. window.location .. etc) y en redireccionamientos tipo recarga por <META ... refresh ...>

En esos casos partículares tendrías que insertar el SID a mano .. También sería recomendable "forzar" a que PHP no propagase el SID en cookies desactivando session.use_cookies a OFF ... si es que realmetne deseas propagar el SID en el URL completamente.

Sobre temas de seguridad en cuanto a la propagación del SID: URL vs Cookie .. puedes leer el documento que recomienda PHP.net al respecto:

http://www.acros.si/papers/session_fixation.pdf

En lineas generales hay más ventajas en cuanto al desarrollo (programación) y seguridad propagando el SID en cookies que no en el URL vs al detallito que te hace depender de que el "cliente" acepte cookies.

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:05.