Sesiones. Seguridad.

Hola.

La pregunta os puede parecer simplona, pero me preocupa.

En una Web un usuario se identifica. Se crea una sesión y accede a su microsite privado. Para salir de él debería pulsar "desconectar", que lleva a una página que destruye la sesión con session_destroy();

Las dudas que tengo son:

1.- ¿Prodría asignarse por error la misma sesión a dos usuarios distintos?. En local no me pasa, cada vez que entro crea una nueva sesión. Pero en el servidor no lo sé (imagino que hace lo mismo, pero no sé cómo comprobarlo).

2.- Si un usuario no sale de su microsite pulsando "desconectar", la sesión permanece en el archivo de temporales. La duda aquí es si alguien que entra, tras pasar la autentificación y crear una sesión con session_star(); en lugar de crearse una nueva, se retome una de las que permenecen.

La lógica me hace pensar que no, pero la verdad, no me fío y quisiera estar seguro de ambas dudas.

¿Cómo podría destruir siempre las sesiones sea cual sea la forma en que el usuario registrado abandona su sitio?.

Gracias por vuestra ayuda.

hola, te daré unas respuestas simples ya que no se mucho pero igual...

1.- no, no se podría ya que si programaste bien el registro y logueo de los usuarios, no se podrá registrar ni loguear 2 personas con el mismo nombre de usuario...

2.- no, ya que si el usuario permanece logueado, no podría loguearse otra persona o retomar el logueo del usuario que salio de la web, ya que no creo posible que una persona que viva en españa por ejemplo se salga de la web y luego una persona alemana que visita la misma web retome su sesión...

la última de como eliminar sea cual sea la forma de abandonar la web no la sé, espero te sirvan las otras 2...

Que un usuario tome la sesión de otro, no es realmente fácil, pero no imposible. Me explico:

Existen muchos sitios Web que pasan por URL la ID de la sesión, lo que significa que si el usuario copia y pega esa URL con su identificador de sesión en un foro, el messenger etc, otros podrían acceder a su sesión si el sistema no esta bien programado. Yo conozco algunos sitios en los que ocurre esto, y que si un usuario inicia su sesión y por accidente revela su ID de sesión a otra persona, esta puede retomarla y modificar parámetros al usuario.

Es muy importante que si pasas este parámetro por URL guardes algún dato sobre el usuario (como la IP) que lo identifique como poseedor de la sesión, sino podria producirse un pequeño "robo" de sesión. Cuando caduque la sesión, o el verdadero usuario, cierre la sesión, el atacante quedaria sin acceso al sistema, pero podría haber cambiado importantes parámetros (como el de email del usuario) y hacerse finalmente con la cuenta de la victima.

Suerte !!!

Gracias, spider_boy y thunder-ion por responder. No paso la id de sesión por URL . De hecho, sólo registro el nombre del usuario y si ha pasado o no la autentificación. Todas las demás variables las tomo cuando las necesito y las uso en el script sin registrarlas en la sesión.

Así que, por lo que decís, puedo olvidar este tema.

Gracias.

De nada.

Que vaya bien

Si tu sistema funciona y no sabes ni como pasas el SID . .implica que lo està haciendo tu configuraciòn por Cookies. Es decir, la propagaciòn del SID se hace en cookies, lo cual requiere de un navegador que las acepte. Por lo demàs es este el mètodo recomendado por seguridad de propagaciòn del SID.

Puedes leer màs sobre el tema en este artìculo que recomienda php.net
http://www.acros.si/papers/session_fixation.pdf

Un saludo,