Foros del Web » Creando para Internet » Diseño web »

no cerrar sesion con cookies

Estas en el tema de no cerrar sesion con cookies en el foro de Diseño web en Foros del Web. estoy pensando en eso que hay en los formularios de login para no cerrar sesion y tratando de hacerlo lo primero que pense fue poner ...
  #1 (permalink)  
Antiguo 22/03/2011, 06:57
Avatar de juanito1712  
Fecha de Ingreso: mayo-2010
Ubicación: Valencia
Mensajes: 1.108
Antigüedad: 7 años, 7 meses
Puntos: 66
no cerrar sesion con cookies

estoy pensando en eso que hay en los formularios de login para no cerrar sesion y tratando de hacerlo

lo primero que pense fue poner en una cookie el numero de usuario y entonces si la cookie existe loguear a dicho usuario

pero eso me hace pensar que si cambias el numerito de la cookie cualquiera puede loguearse


por lo que pensé añadirle como una contraseña, no la del propio usuario, que se generase al crear la cookie y se guardase en mi servidor, también, entonces necesitaría el usuario y esa contraseña que se ha generado

eso es seguro?
  #2 (permalink)  
Antiguo 22/03/2011, 09:43
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 9 años, 4 meses
Puntos: 1530
Respuesta: no cerrar sesion con cookies

la única característica para que la sesión no expire, es establecer a la cookie que no expire, realmente no entendí que es lo que quieres lograr: ¿permitir al usuario tener la sesión siempre activa, o que?

sin la cookie, no puedes reconocer al usuario en sesión, y dentro de las formas de "robar" esa cookie de sesión, existen los ataques XSS, que son los que debes prevenir.
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #3 (permalink)  
Antiguo 22/03/2011, 09:57
Avatar de juanito1712  
Fecha de Ingreso: mayo-2010
Ubicación: Valencia
Mensajes: 1.108
Antigüedad: 7 años, 7 meses
Puntos: 66
Respuesta: no cerrar sesion con cookies

si, como por ejemplo en gmail lo de no cerrar nunca sesion, que abro gmail y accedo directamente a mi cuenta sin contraseña, pero no se que tipo de sistema debería emplear para que eso fuese seguro

para el usuario lo mantengo en sesion con una variable de sesion en php almacenando el id del usuario para tenerlo controladito, pero por ejemplo, si pusiese en la cookie simplemente el id de usuario cualquiera que hiciese pasar un txt por la cookie en cuestion poniendo cualquier numero de usuario iniciaria la sesion de cualquier otro

eso es lo que quier evitar
  #4 (permalink)  
Antiguo 22/03/2011, 10:07
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 9 años, 4 meses
Puntos: 1530
Respuesta: no cerrar sesion con cookies

lo que guarda php en sessión es un HASH del numero aleatorio generado para el usuario, los datos de la sesión se almacenan en el servidor, y es muy baja la probabilidad de duplicar la sesión de un usuario, además en la configuración de php puedes cambiar incluso el algoritmo por SHA1, MD5 u otro.

te repito, una de las formas más comunes de robar la cookie de la sesión es por XSS.
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #5 (permalink)  
Antiguo 22/03/2011, 10:14
Avatar de juanito1712  
Fecha de Ingreso: mayo-2010
Ubicación: Valencia
Mensajes: 1.108
Antigüedad: 7 años, 7 meses
Puntos: 66
Respuesta: no cerrar sesion con cookies

no a ver, en el tema de la sesion en php no tengo problema, la cuestion es eso que digo, la opcion de no cerrar sesion, eso deberia guardarlo en una cookie para cuando al cargarla cree la variable de sesion con ese usuario

por eso no se como hacerlo porque si modificase la cookie poniendo cualquier otro numero valido de un usuario en un principio, si solo incluyese ese dato podria hacerlo
  #6 (permalink)  
Antiguo 22/03/2011, 10:45
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 9 años, 4 meses
Puntos: 1530
Respuesta: no cerrar sesion con cookies

no estás comprendiendo, para que el usuario conserve la sesión, se configura la cookie de manera que ésta no expire, así que cuando el usuario regresa no se tiene que generar otro id de sesión, no se generará una cookie, será la misma cookie con que se logeo
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #7 (permalink)  
Antiguo 23/03/2011, 12:14
Avatar de juanito1712  
Fecha de Ingreso: mayo-2010
Ubicación: Valencia
Mensajes: 1.108
Antigüedad: 7 años, 7 meses
Puntos: 66
Respuesta: no cerrar sesion con cookies

no pero los logueo mediante variable de sesión no mediante Cookies, cuando mire lo de loguear comence a hacerlo por variables de sesión en porque lo de las cookies me parecía mas inseguro
  #8 (permalink)  
Antiguo 24/03/2011, 11:29
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 9 años, 4 meses
Puntos: 1530
Respuesta: no cerrar sesion con cookies

¿comprendiste lo que te dije?: las sesiones utilizan una cookie., de lo contrario propagarían el id de sesión por URL
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #9 (permalink)  
Antiguo 27/03/2011, 22:07
Avatar de juanito1712  
Fecha de Ingreso: mayo-2010
Ubicación: Valencia
Mensajes: 1.108
Antigüedad: 7 años, 7 meses
Puntos: 66
Respuesta: no cerrar sesion con cookies

no lo comprendo, yo para sesiones creo una variable global con php que no envio por ninguna url y recupero desde cualquier página sin que nadie se entere, no utilizo cookies para nada

Etiquetas: cerrar, cookies
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:36.