Obtener IP a través de $_SESSION

Ronin46 · #1 (**permalink**) 24/10/2010, 05:50

Buenos días,

En un sistema en el que se trabaje con variables de sesión ($_SESSION), y suponiendo que alguien ha "robado" una sesión, ¿es posible que ese alguien pueda obtener la IP perteneciente al usuario que ha generado dicha variable de sesión?

Es decir, ¿existe alguna relación entre el identificador de sesión y la IP del usuario para el cual se genera dicho identificador?

Hasta donde yo sé el identificador se genera de forma aleatoria, y lo único que lo podría relacionar con un usuario es el contenido de dicha variable de sesión.

Gracias.

repara2 · #2 (**permalink**) 24/10/2010, 06:12

Hola Ronin46, en principio no hay acceso a la IP. Lo que sí pueden es secuestrar la session teniendo el ID de session, pero no se guarda ip en esos archivos. La identificación cliente servidor se hace por medio del id de session, lo cual las hace un poco frágiles.
Una de forma de mejorar la seguridad de las sessiones es registrando la ip al inicio de la session y comprobándola luego en cada session_start(). Si la IP cambia, posiblemente han secuestrado la session. 1 saludo

Ronin46 · #3 (**permalink**) 24/10/2010, 09:27

Cita:

Iniciado por repara2

Una de forma de mejorar la seguridad de las sessiones es registrando la ip al inicio de la session y comprobándola luego en cada session_start(). Si la IP cambia, posiblemente han secuestrado la session. 1 saludo

Buenas tardes,

Jejeje, precisamente la pregunta iba encaminada a hacer lo que has dicho repara2.

También he leído otros métodos que lo que hacen es generar dos sesiones, una la de siempre y otra generada a través de una clave (algo así: http://www.infiernohacker.com/archiv...lect_idmnsj=88) pero bueno, este método si acaso para más adelante, para empezar tiraré por el método de comparar IP + ID sesión.