25/01/2010, 07:12
| |||
| |||
| sessiones seguras. Que tal amigos, estoy buscando la forma de tener sesiones lo mas segura posible, segun estoy viendo en algunos sitios la mejor alternativa es guardar la sesion en la base de datos. Pregunto si esto es lo mejor desde el punto de vista de la seguridad o hay otras alternativas. Un saludo. |
|
25/01/2010, 07:19
| ||||
| ||||
| Respuesta: sessiones seguras. Las sesiones son seguras de por si. ¿A que te refieres con guardarlas? Me refiero cuál es el motivo de guardar las sesiones en una base de datos.
__________________ Verifica antes de preguntar. Los verdaderos amigos se hieren con la verdad, para no perderlos con la mentira. - Eugenio Maria de Hostos |
|
25/01/2010, 07:42
| ||||
| ||||
| Respuesta: sessiones seguras. Lo que podrías hacer, es guardar el contenido de la sesión en la bd, y luego comparar. Claro que ese valor debería actualizarse por cada vez que el usuario se conecte.
__________________ Nunca te olvidaré mi negra hermosa. Te extraño demasiado. |
|
25/01/2010, 07:54
| |||
| |||
| Respuesta: sessiones seguras. Gracias, estoy viendo y hay varias posibilidades, al menos para agregarle un poco mas de seguridad a la session. Código PHP: ¿Como lo ven? |
|
25/01/2010, 14:30
| |||
| |||
| Respuesta: sessiones seguras. Desde mi punto de vista es una buena alternativa guardar el ip del visitante como medida de seguridad, yo generalmente lo hago. No necesitas generar dos sesiones, puedes hacer un array con una misma sesion. Código PHP: |
|
25/01/2010, 14:40
| ||||
| ||||
| Respuesta: sessiones seguras. juaz.. y si me conecto desde otra maquina..? u otro pais? Tremenda seguridad disfuncional
__________________ Ayudo con lo que puedo en el foro, y solo en el foro.. NO MENSAJES PRIVADOS.. NO EMAILS NI SKYPE u OTROS. Antes de hacer un TOPICO piensa si puedes hallarlo en Google o en el Buscador del Foro... |
|
25/01/2010, 14:50
| ||||
| ||||
| Respuesta: sessiones seguras. El tema de robo de sesiones no tiene nada que ver donde estan guardadas, y es simplemente por la naturaleza de como funcionan. Las sesiones en PHP y en otros lenguajes se manejan por un identificador de sesión, este es propagado entre todos los requests HTTP ya sea en forma de una cookie o en la URL, pero siempre es transmitido. Este identificador de sesion lo que permite es que el lenguaje en el servidor sepa que sesion utilizar. Lo que se hace al robar la sesion es generalmente via XSS inyectan un código javascript en tu pagina, y redirigen pasando el valor de las cookies, y en esta va el SessionID y con este SessionID pueden logearse en tu pagina haciendola pensar que es la sesion del usuario original. Las formas de proteger las sesiones son varias, una es filtrar TODO el input que viene para evitar XSS, otra es usar otro motor de sesiones para que antes de iniciar la sesión verifiques que la IP sea la misma, en caso contrario marcas un error. Saludos. |
|
25/01/2010, 14:57
| |||
| |||
| Respuesta: sessiones seguras. Cita: Estimado loncho_rojas, no entiendo lo que queres decir, el ejemplo que di es una simple session que guarda el user e ip visitante y que desaparecerá cuando el visitante cierre la sesion o el navegador.
Iniciado por loncho_rojas  juaz.. y si me conecto desde otra maquina..? u otro pais? Tremenda seguridad disfuncional |
|
25/01/2010, 18:15
| |||
| |||
| Respuesta: sessiones seguras. Si quieres mas seguridad en tus sesiones utiliza: session_regenerate_id http://docs.php.net/manual/es/functi...enerate-id.php |
| Etiquetas: |
