Duda Con El Identificador De Sesion

roscar · #1 (**permalink**) 09/05/2008, 00:59

Hola a todos, tengo una dudilla con las cookies de sesion, en concreto con la validez de las sesiones. A ver por lo que he entendido de lo que he estado leyendo, la sesion en el servidor puede tener validez hasta que cierres todas las ventanas de la aplicación o hasta que tu le pongas si le pones un expire. Pero, ¿es independiente la validez de la sesion en el servidor y la validez de la cookie de sesion?
Pregunto ésto porque estoy probando una aplicación que se está desarollando, y estoy intentando ver el fichero de cookie para ver la cookie de sesion almacenada y nunca lo veo, he visto por ahí que es que el fichero de cookies no se guarda en local hasta que no se cierre el navegador, y que las cookies de sesion caducan cuando se cierra el navegador (con lo cual si la única cookie que se envia es la de sesion tiene lógica que no vea ningun fichero e cookie,¿no?) . Pero claro estoy haciendo una prueba de seguridad de la aplicación y intentando acceder a la aplicación con un identificador de sesión que se me había dado en una sesión anterior y la aplicación se lo traga, entra perfectamente, lo cual significa que en el servidor esa sesión aún sigue viva y almacenada en algún objeto, ¿no?.

¿Podría alguien aclarame esas dudillas de si la cookie de sesion nunca se almacena en el fichero de cookies y de si es posible entonces que la cookie de sesion ya no esté disponible para el cliente pero siga teniendo validez en el servidor?

Muchas gracias

bookmaster · #2 (**permalink**) 09/05/2008, 02:56

Hay un par de maneras de hace las Sesiones y eso varía en función del servidor.

Una de ellas como mencionas es usando una cookie para controlarlo y la otra es por medio de que el servidor detecte que la conexión/navegador esté abierta, y que al cerrarlo se pierde dicha conexión y se cierre.

En el caso de darle un tiempo a la sesión, es posible que si cierras el navegador antes de que expire el tiempo, al volver a conectarte esta se mantenga activa aún, yo lo que suelo hacer es decirle a la página web que al cerrar que destruya la sesión con un onUnLoad="session_destroy();", o bien por medio de un enlace para cerrar la sesión directamente.

roscar · #3 (**permalink**) 09/05/2008, 06:23

¿Y como detectas si la conexion con el navegador está abierta?

roscar · #4 (**permalink**) 09/05/2008, 06:37

perdona la duda en concreto es el "onUnLoad" se lanza cuando se le da a la x en el navegador para cerrar la ventana??? Es que eso no lo sabia,jeje.

Muchas gracias por la respuesta. Y con respecto a lo de si la cookie de sesion de guarda en el fichero txt de cookies del local, ¿es cierto que nunca se almacena aunque tenga un expire??

Thanks again

bookmaster · #5 (**permalink**) 09/05/2008, 12:15

El OnUnLoad efectivamente es la ultima acción que se realiza cuando uno se sale o cambia de página.

Y a lo de la cookie depende de de como este la configuración del servidor. Echale un ojo a este enlace, en el que explican la diferencia de las 2.
http://www.desarrolloweb.com/articulos/2022.php

roscar · #6 (**permalink**) 09/05/2008, 12:52

Muchas gracias, creo que ya me ha quedado claro del todo.

Thanks