Tema: seguridad en sessiones
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 10/05/2004, 07:51
Macro32
 
Fecha de Ingreso: noviembre-2002
Ubicación: LIMA
Mensajes: 652
Antigüedad: 21 años, 5 meses
Puntos: 1
seguridad en sessiones
Hola!...tengo el siguiente problema.

Probe el script q esta de ejemplo por todos lados del contador...cada vez q ingreso a la pagina...me muestra el contador, y se incrementa. El contador es una variable de sesion.
Hasta aqui todo bien.

Ahora, en el ejemplo q vi, se propagaba el SID con codigo...probe quitarselo...y funciona igual. Las pruebas las hago tanto en mi servidor...como en mi pc. En mi pc tengo cookies habilitadas.


El problema es el siguiente:
1) abro una ventana en mi navegador y pongo
www.midominio.com/contador.php
2) aparece el contador en 1..
3)vuelvo a llamarla (tiene un link a si misma), esta vez...misteriosamente aparece el SID en la URL(porque??, si yo no lo puse en el codigo??)...vuelve el contador a 2, en las siguientes llamadas desaparece el SID, y el contador se sigue incrementando.

OK...cierro la ventana del navegador...y puedo empezar de cero,
pero si tomo el SID (guardado en mi historial), y lo ejecuto nuevamente como a la hora...y LA SESION AUN EXISTE.

Directive Local Value Master Value
session.auto_start Off Off
session.bug_compat_42 On On
session.bug_compat_warn On On
session.cache_expire 180 180
session.cache_limiter nocache nocache
session.cookie_domain no value no value
session.cookie_lifetime 0 0
session.cookie_path / /
session.cookie_secure Off Off
session.entropy_file no value no value
session.entropy_length 0 0
session.gc_divisor 100 100
session.gc_maxlifetime 1440 1440
session.gc_probability 1 1
session.name PHPSESSID PHPSESSID
session.referer_check no value no value
session.save_handler files files
session.save_path /tmp /tmp
session.serialize_handler php php
session.use_cookies On On
session.use_only_cookies Off Off
session.use_trans_sid On On

Ahi tire la configuracion en mi servidor ...
Yo necesito obviamente por cuestiones de seguridad q la sesion finalize cuando se cierra la ventana del navegador.

Tambien quiero saber por ej..el session.save_path =/tmp
es el temporal general del servidor?...porque tambien tengo un /tmp entre las carpetas asignadas a mi dominio, sin embargo ahi no encuentro archivos de sesiones (mientras se supone estan creadas). No es buena idea imagino q las sesiones se guarden en un /tmp general en donde,,,..vaya a saber quienes puedan leerla.

Tengo entendido q todos estos valores se modifican por codigo...como hago para q queden modificadas por defecto..como en el php.ini de mi computador?.

Bueno, son muchas dudas. Gracias desde ya.