Foros del Web » Programando para Internet » PHP »

Privacidad en sesiones

Estas en el tema de Privacidad en sesiones en el foro de PHP en Foros del Web. Tengo una página web con un sistema de autenticación con sesiones en PHP, y tengo en problema de que cuando hay varios usuarios a la ...
  #1 (permalink)  
Antiguo 25/08/2003, 04:59
Avatar de banyuken  
Fecha de Ingreso: diciembre-2002
Ubicación: Madrid
Mensajes: 83
Antigüedad: 21 años, 3 meses
Puntos: 0
Privacidad en sesiones

Tengo una página web con un sistema de autenticación con sesiones en PHP, y tengo en problema de que cuando hay varios usuarios a la vez conectados, en algunos momentos algunos pierden su identidad adquiriendo la de otros usuarios que también navegan por el sistema en ese momento.
¿Alguien sabe a qué puede ser debido?
Muchas gracias, un saludo,
Banyú.
  #2 (permalink)  
Antiguo 26/08/2003, 22:13
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
En teoría las sesiones creadas por PHP son únicas y válidas para cada cliente que las inicie.

Todo esto "que sea única" lo determina que el SID que se genera la primera vez que un cliente inicia una llamada a session_start() (y en consecuencia se genera un SID válido para esta) .. sea propagado y usado por los scripts de esa sesión en ese cliente.

Con esto quiero decir que .. si el SID válido actual se lo "pasan" entre usuarios (por el URL por ejemplo en links que un usuario pueda dejar y que otro pueda "clikear" ..) ahí podría ser posible que un usuario tomase la identidad de otro pues lo que estaría tomando es el SID válido del otro usuario.

No sé en qué sistuaciones te ocurre dicho problema ni como propagas el SID en tus apliaciones .. pero ese podría ser un problema.

Una solución a ese problema es usar cookies para propagar el SID (ojo .. digo cookies, sí . .pero sólo para el ID del SID ..) Esto lo hace PHP por nosotros si se lo idicamos en la directiva de php.ini (también se puede ajustar por script en tiempo de ejecución):

session.use_cookies ..

Y en las últimas versiones de PHP se ha mejorado la seguridad ene se aspecto .. pues se valida el "host" que emite la sesion y algunos detalles más para que no pueda "suplantar" un SID de un dominio X al Y (pero si son todos del X o del Y .. mm ahí está el problema)

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:21.