COOKIES y SESSION

Hola,

Estoy haciendo algo y he llegado a la parte de los "usuarios". Para su login es el momento de escoger entre COOKIES y/o SESSION. Me manejo con las dos, así que no hay problema.

A mí me gusta usar COOKIES, especialmente porque no mueren si cierras el navegador.. sin embargo veo que en este foro cada vez que alguien las nombra enseguida le recomendáis usar SESSION.

Lo que quiero saber NO es la comparación, sino por qué renunciáis a las COOKIES.

PD: Tengo entendido que conjuntar las dos cosas es la mejor solución, pero me gustaría evitarlo

las sesiones se guardan como cookies!
siempre se juntan las dos cosas.

saludos n.n

No tiene por qué. La identificación de session (SID) puede enviarse vía URL también.

Hola:
Pues a mi consieracion y de acuerdo a lo qu he leido en varios articulos, las cookies pueden ser manipulables por hackers, es mas que logico el risgo qu se puede ver en las cookies solo por el hecho de qudar en el sistema del cliente.
la session esta mas manipulable de tu parte, existe mayor control.
No se que opines tu.
Bye

Si hablamos de "hackers", ¿no es más arriesgado usar session? Podrías hacerte con un SID que no es el tuyo y entrar en su cuenta sin conocer usuario ni contraseña.

es más facil modificar una cookie de tu pc que identificar un SID

yo personalmente uso las dos para diferentes cosas, pero para formar un sistema de logueo más conciso, no creo que sea que se use más una que otra, es depende de para que se quiera

El SID lo transmite un usuario al copiar&pegar una dirección URL que lo contenga a un amigo, por ejemplo.

Pero en el caso de la session depende realmente de como la manejes.
Si estas pasanola via URL por GET logicamente si esta representando una vulnerabilida ahi con la session, en dicho caso se puede hacer segura por GET antes de enviarla que sea encriptada por MD5 y ahi si la envias via GET por la URL.
En cambio lo que dijo vb2005 es muy cierto, es mas facil modificar o manipular una cookie en el pc que una session.
Es creo o considero que pensar en uan logica, y es que no sabemos como pueda tener el pc una persona que visita nuestro site con respecto en seguridad, AV, Firewall y si es precavida con el cuidao y segurida de su propio PC. lo cual nos da grandes posibilidades de que alguien que no sea cuidadoso con la segurida de su pc nos visite a nuestro site.
El hecho de que esa persona tenga en cierto "descuido de segurida" su pc, hace que la probabilidad de que lo invadan o tenga acceso por parte de hackers, o programas maliciosos a su sistema y que puedan modificar o manipular registros, archivos, cookies y otros sea de un alto grado de probabilidad.
Creo que si uno programa un site debe tener en cuenta todos los aspectos posibles, desde los mas logicos hasta los mas ilogicos, hoy en dia se ve de todo y mas en la red de redes.
Es lo que creo yo.
Bye

Gracias por la explicación Kabuki, pero no hemos solucionado nada con eso

Aunque la pase a MD5 da igual, porque al usuario "atacante" no le interesa saber la SID de la "victima" sino que su intención es acceder a ella. Si el sistema SIEMPRE la lee en MD5, es lo mismo que leerla sin cifrar, ya que simplemente la lee. No sé si me explico.

Si la SID es 1234 y cifrada es ABCD, en caso de no estar cifrada al usuario le pondrá en la url pagina.php?SID=1234, y el atacante con poner 1234 ya la tiene. Si está cifrada al usuario le pondrá pagina.php?SID=ABCD, y el atacante con poner ABCD ya lo tiene. Es lo mismo.

Otra opción para el uso de login puede ser autenticación con HTTP, pero no se que tan seguro sea