Foros del Web » Programando para Internet » PHP »

sesion fixation

 Estas en el tema de sesion fixation en el foro de PHP en Foros del Web. Buenas, He visto un ejemplo para evitar uno de los metodos que hay en robo de sesiones (session fixation) @import url("http://static.forosdelweb.com/clientscript/vbulletin_css/geshi.css"); Código PHP: Ver original ...
  #1 (permalink)  
Antiguo 18/02/2013, 06:29
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 16 años, 5 meses
Puntos: 2
sesion fixation
Buenas,

He visto un ejemplo para evitar uno de los metodos que hay en robo de sesiones (session fixation)


Código PHP: 
Ver original
  1. <?php
  2. $_SESSION['logged_in'] = FALSE;
  3. if (check_login())
  4. {
  5. session_regenerate_id();
  6. $_SESSION['logged_in'] = TRUE;
  7. }
  8. ?>

por lo que entendí esto genera un nuevo id de sesion cada vez que un usuario se hace un login.

pero la marca $_SESSION['logged_in'] = TRUE; no es necesaria, no??
El codigo podria quedar de esta menera

Código PHP: 
Ver original
  1. <?php
  2. if (check_login())
  3. {
  4. session_regenerate_id();
  5. }
  6. ?>

si no es correcto explicarme el porqué no.

Un saludo
  #2 (permalink)  
Antiguo 18/02/2013, 07:04
Avatar de maycolalvarez
Colaborador
  
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 15 años, 8 meses
Puntos: 1532
Respuesta: sesion fixation
en realidad no basta solo con regenerar el id de sesión, lo recomendable también es cambiar o eliminar la cookie al cerrar la sesión

he aquí una buena discusión del tema: http://stackoverflow.com/questions/5...tion-hijacking
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #3 (permalink)  
Antiguo 18/02/2013, 08:27
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 16 años, 5 meses
Puntos: 2
Respuesta: sesion fixation
Cita:
Iniciado por maycolalvarez Ver Mensaje
en realidad no basta solo con regenerar el id de sesión, lo recomendable también es cambiar o eliminar la cookie al cerrar la sesión

he aquí una buena discusión del tema: http://stackoverflow.com/questions/5...tion-hijacking
Gracias por el aporte me sera de utilidad pero, sigo teniendo la misma duda que hice mas arriba.
No entiendo la necesidad de agregar esto ($_SESSION['logged_in'] = FALSE;):

Código PHP: 
Ver original
  1. <?php
  2. $_SESSION['logged_in'] = FALSE;
  3. if (check_login())
  4. {
  5. session_regenerate_id();
  6. $_SESSION['logged_in'] = TRUE;
  7. }
  8. ?>


El siguiente código hace lo mismo sin la linea esa.

Código PHP: 
Ver original
  1. <?php
  2. if (check_login())
  3. {
  4. session_regenerate_id();
  5. }
  6. ?>
  #4 (permalink)  
Antiguo 18/02/2013, 09:09
webankenovi
Invitado
  
Mensajes: n/a
Puntos:
Respuesta: sesion fixation
Haber si $_SESSION['logged_in']= false y la function check_login() no es true , $_SESSION['logged_in'] seguira siendo falso , mientras que si la funcion check_login is true regenera el id y $_SESSION['logged_in'] sera true

ahora habria que saber que hace la funcion check_login tambien , para saber si $_SESSION['logged_in'] sirve de algo o no , como tu preguntas
  #5 (permalink)  
Antiguo 18/02/2013, 09:54
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 16 años, 5 meses
Puntos: 2
Respuesta: sesion fixation
Cita:
Iniciado por webankenovi Ver Mensaje
Haber si $_SESSION['logged_in']= false y la function check_login() no es true , $_SESSION['logged_in'] seguira siendo falso , mientras que si la funcion check_login is true regenera el id y $_SESSION['logged_in'] sera true

ahora habria que saber que hace la funcion check_login tambien , para saber si $_SESSION['logged_in'] sirve de algo o no , como tu preguntas
check_login() devuelve true si el usu y pass existe en la bd por eso, digo que $_SESSION['logged_in'] = FALSE; no sirve para nada.
  #6 (permalink)  
Antiguo 18/02/2013, 09:56
webankenovi
Invitado
  
Mensajes: n/a
Puntos:
Respuesta: sesion fixation
Y como compruebas que esta en la bd ? con solo este codigo que parametros pasas?? por el session_id?

Código PHP: 
Ver original
  1. <?php
  2.     $_SESSION['logged_in'] = FALSE;
  3.     if (check_login())
  4.     {
  5.     session_regenerate_id();
  6.     $_SESSION['logged_in'] = TRUE;
  7.     }
  8.     ?>
  #7 (permalink)  
Antiguo 18/02/2013, 10:39
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 16 años, 5 meses
Puntos: 2
Respuesta: sesion fixation
es un ejemplo que agarre del libro php security.
copio tal cual estaba

This does eliminate the opportunity for an attacker to assign a simple session identifier such as 1234,
but the attacker can still examine the cookie or URL (depending upon the method of propagation) to
get the session identifier assigned by PHP. This approach is illustrated in Figure 4-4.
To address this weakness, it helps to understand the scope of the problem. Session fixation is merely
a stepping-stonethe purpose of the attack is to get a session identifier that can be used to hijack a
session. This is most useful when the session being hijacked has a higher level of privilege than the
attacker can obtain through legitimate means. This level of privilege can be as simple as being
logged in.
If the session identifier is regenerated every time there is a change in the level of privilege, the risk
of session fixation is practically eliminated:

Código PHP: 
Ver original
  1. <?php
  2. $_SESSION['logged_in'] = FALSE;
  3. if (check_login())
  4. {
  5. session_regenerate_id();
  6. $_SESSION['logged_in'] = TRUE;
  7. }
  8. ?>
  #8 (permalink)  
Antiguo 18/02/2013, 11:06
webankenovi
Invitado
  
Mensajes: n/a
Puntos:
Respuesta: sesion fixation
Bueno supongo que seria un ejemplo , a simple vista no se sabe para que se usaria $_SESSION['logged_in'] pero un ejemplo podria ser este:

Código HTML: 
Ver original
  1. <?php
  2. $_SESSION['logged_in'] = FALSE;
  3. if (check_login())
  4. {
  5. session_regenerate_id();
  6. $_SESSION['logged_in'] = TRUE;
  7. }
  8.  
  9. if(isset($_SESSION['logged_in']) and !empty($_SESSION['logged_in']))
  10. {
  11.     echo 'autenticado';
  12. }
  13. ?>

osea que no tienes por que usar $_SESSION['logged_in'] eso dependera de tu sistema tan solo centrate en regenerar el id cada carga de pagina y no propagar por la url el id
  #9 (permalink)  
Antiguo 18/02/2013, 11:50
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 16 años, 5 meses
Puntos: 2
Respuesta: sesion fixation
vale, gracias.

Etiquetas: Ninguno
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 22:03.