sesssion con problema de seguridad?

ernewston · #1 (**permalink**) 17/09/2010, 22:46

Buenas,
estoy desarrollando un script y me estoy concentrando en seguridad.
Mi script utiliza sessions para tener a mano la informacion del usuario, que se logueo con un nombre de usuario y una contraseña.

Estuve averiguando por internet que las sessiones son seguras ya que la info se guarda en el servidor mismo, pero que el ID de la session es guardada en una cookie, o sea, en el browser del usuario.
Entonces pense, si se cambia en el cookie el ID session se podria acceder informacion guardada para otro usuarios de otra sesiones?

Hice esta prueba:
tengo un localhost y dos diferentes webbrowsers en los cuales siempre utilizan diferentes sessions. En el firefox me baje el firebug y el firecookie, para poder modificar los cookies. En el primer browser, google chrome, inicie sesion con un usuario y contraseña, y en el firefox con un usuario y contraseña diferentes, teniendo asi dos sesiones diferentes. Luego tome la session ID del cookie del chrome y la copie en firecookie de firefox y... entré al usuario de google chrome desde el firefox sin necesitar contraseña!!

Esto no es inseguro? un hacker no podría ir cambiando los cookies e ir probando hasta poder entrar en la sesion de otro usuario???? Será que solo por ser un localhost y al ser el mismo ip se puede ingresar a otra sesion diferente? Si esto no es asi, existiria un riesgo de seguridad importante en sessions y habría que implementar mas seguridad manualmente.

Alguien me puede aportar datos sobre esto?? Es asi??

DooBie · #2 (**permalink**) 18/09/2010, 02:10

Es así, pero debes tener en cuenta una cosa, el id de sesion es una cadena de caracteres muy larga, como para ir probando uno a uno (fuerza bruta) y poder entrar, para eso se usa el tiempo de sesion, para que no se quede la sesion abierta en todo momento, y al tiempo, se crea una nueva, esa seria una medida adicional de seguridad.

Supongo que habrán otras, pero nunca he implementado nada más que lo del tiempo.

ernewston · #3 (**permalink**) 18/09/2010, 10:00

Un software bien diseñado podria ir probando cookies rapidamente y detectar si se entro en la sesion de otro usuario. Es tema de suerte tambien, lo se, pero si en ese tiempo de duracion de los session se llega a adquirir un id de una sesion abierta y llega a poder utilizar la info de algun usuario podria ser grave, ya que se podria tratar de un ecommerce script y poder manipular la tarjeta de credito de otra persona, por ejemplo.

Seguro que el servidor no tiene en cuenta el ip tambien para identificar una session?

Voy a hacer una prueba desde otra computadora y probar si el ip cambia algo para identificar la sessions, de lo contrario voy a tener que diseñar algo yo mismo para que se fije en el cookie Y en el ip simultaneamente .... No me proporciona la seguridad que realmente quiero en mi script.

Alguien tiene alguna otra idea?