Foros del Web - Ver Mensaje Individual - ¿Es correcta esta forma de mantener al usuario logueado?

tuadmin · #6 (**permalink**) 31/10/2018, 10:17

Cita:

Iniciado por juanito1712

alvaro_trewhela.

hay un único string por usuario, a cada inicio de sesión cambia el string y en caso de acceder desde otro equipo el anterior dejaría de existir y su "sesion" moriría si cometes el error de mantener la sesión abierta en un equipo ajeno se destruirá al iniciar sesión de nuevo

jsstoni
1)no entiendo que beneficio se puede tener de obtener la cookie y volverla a crear mas adelante, a cada login el string cambia, son como cookies de usar y tirar, en la cookie no almaceno el usuario al que pertenece solo el string y a partir de el se loguea al usuario y se genera a uno nuevo para la proxima vez.

2)Es lo que me inquieta, si alguien acertase el token existente de cualquier usuario, podria iniciar por cualquiera, es lo que me inquieta de todo esto desde el principio.

Es un token alfanumérico descaradamente largo y tras un intento fallido bloqueo la ip desde la que ha llegado pero... no se si debería inquietarme o esto está bien planteado así

el beneficio de secuestrar cookies es que , si tu usuario es atacado y le roban la cookie, un usuario ajeno, puede ingresar desde otro ordenador y realizar cualquier actividad de tu usuario legitimo, ya que hasta que el usuario habra otra session en otro ordenador puede pasar horas o dias, tiempo suficiente para un persona ajena haga lo que quiera
si los tokens son faciles ed adivinar ten por seguro que asi seria, pero ponle mas ENTROPIA a los token, usa variables, como microsegundos,IP del cliente, multiplica los puntos donde estuvo el MOUSE,etc

generalmente el secuestro de sessiones o Cookies, solo es de importancia para webs que manejen Asuntos de DInero, si tu we trabaja bajo SSL/HTTPS, es dificil secuestrar Cookies, si es por HTTP, tu usuario se coencta por Wifi, es sencillo que un Tercero se cuele y le copie los datos.