En cuanto a la seguridad:
en
http://es.php.net/session solo he visto esto:
Cita: El módulo de sesiones admite ambas formas. Las Cookies son la mejor opción, pero como no son fiables (los clientes no están obligados a aceptarlas), no podemos confiar en ellas. El segundo método incrusta el "session id" directamente en las URLs.
Por eso, entre otras razones, me decidi hacerlo con URL, porque si la persona que tiene que administrar el sitio no tiene las cookies activadas no se vean imposibilitadas de usarlo.
Pero a parte los conocimientos que tengo yo sobre seguridad de sesiones son los siguientes:
- El SID, tanto si se pasa en cookie como por URL el problema es que en las cabeceras HTTP esta incluida el SID por tanto con un sniper o herramienta similar se puede obtener ese dato y identificarte como usuario valido... la solución que yo adopte para este problema es que cuando un usuario se identifica se guarda la IP, y luego se comprueba en cada peticion si coincide con la ip original que se ha identificado... aunque vaya si se usa un sniper tambien se obtiene el usuario y la contraseña pero bueno...
- cuanto mas tiempo permanece el SID como valido, tiene el inconveniente que con mas tiempo puede contar el atacante... por lo tanto en sesiones que contienen información realmente importantes o permiten el acceso a zonas protegidas es interesante poner limitación a su vida... con lo que el SID de identificación en la visita de la web, normalmente lo hago con cookies y sin mucha prisa de caducidad y en la administración el tiempo es realmente corto...
- a parte segun tengo entendido robar las cookies y obtener el SID se puede lograr de varias formas y en segun que ataques de robo de cookies depende en parte de los conocimientos del usuario, con lo qual es una opcion importante a tener en cuenta... pero eso se arregla con una comprobación de ip...
en resumen, que no creo que haya mucha diferencia de seguridad entre un sistema y otro, y al final quizas premia la accesibilidad y la independecia de configuración del navegador del cliente...
en cuanto a los problemas anteriores:
a) ya he forzado el 'url_rewrite_tags' y sigue igual:
ini_set("url_rewrite_tags", "");
ini_set("session.use_trans_sid",0);
ini_set("session.gc_maxlifetime", 1);
ini_set("session.use_only_cookies", 0);
ini_set("session.use_cookies", 0);
session_name('sadm');
session_start();
ejemplo de enlace:
action="index.php?m=redactor&n=1&<?php echo SID; ?>"
es increible porque utilizo configuraciones similares en otros sistemas y esto no me ha pasado nunca.... no entiendo porque se produce...
b) gracias por la información de borrado... de todas formas he comprobado que aunque permanezca el archivo el acceso ya ha quedado anulado y no, despues de minutos de haber cerrado el navegador el SID permanece valido... tendra que ver con el problema anterior... creo que esta ignorando las directivas de configuración que indico...