sessiones en codeigniter

atoleon · #1 (**permalink**) 21/10/2010, 08:26

Hola

Estoy creando una web utilizando el framework codeigniter. Estoy creando un sisemta de sesiones con authenticación y tengo dudas sobre la seguridad.
Existe en codeigniter una libería llamada sessions la cual es muy fácil de manejar y basicamente es una cookie donde puedes guardar información del usuario.

Había pensado en crear un formulario de acceso donde el usuario introduzca sus datos de conexión. Al comprobar estos datos en la base de datos, si son correctos pues crearía una sessión (cookie) donde además de los datos básico de la propio cookie, incluiría un campo llamado logeado donde escribiría si, para indicar que está logueado y no o false para indicar lo contrario.
En cada pagina privada sólo tendría que comprobar ese campo para dar o no acceso al usuario a dicha página.

Mi pregunta fundamental es: ¿Es seguro este sistema?

pateketrueke · #2 (**permalink**) 21/10/2010, 10:41

¿cual sistema? ¿hablas específicamente del sistema de sesiones? ¿de tu implementación? ¿o generalmente de CodeIgniter?

atoleon · #3 (**permalink**) 21/10/2010, 10:53

Pues un poco en general, pero sobre todo quería saber si era seguro permitir o no permitir el acceso a una página comprobado un campo en una cookie.
Lo que sería el sistema de la clase session de codeigniter con un campo añadido.

pateketrueke · #4 (**permalink**) 21/10/2010, 10:57

en la practica, lo mas coherente es tu resolución...

una ves ingresado al sistema, solo estableces una variable que indique eso mismo... y sabiendo que CodeIgniter maneja bien la seguridad pues...

atoleon · #5 (**permalink**) 21/10/2010, 11:04

Al igual me voy a columpiar con este tema, pero no es posible que un usuario (de nivel muy avanzado en progarmación claro) pueda manipular él mismo la cookie para cambiar él mismo el valor de la variable y así tener acceso?
Es decir, si se da cuenta de que para acceder a esa página sólo necesita cambiar el valor de logeado a "si", pues podría él mismo cambiar ese valor y así tener acceso a todo, no?

pateketrueke · #6 (**permalink**) 21/10/2010, 11:17

es posible ciertamente, pero dudo que adivine que valor en especifico necesita para ingresar al sistema...

aunque no recuerdo bien que hace CI con si librería Session para codificar los datos, pero quizá ahí esta la clave... dicho programador debería conocer a la perfección CI, y aún así todo cuesta trabajo...

no es tan simple como imaginas, da una oportunidad a tu sistema... (:

atoleon · #7 (**permalink**) 21/10/2010, 14:13

Muchas gracias por toda la info pateketrueke. Ahora mismo me han comentado por otro lado que las cookies de CI funcionan algo así como las sessiones de php y que son muy difíciles de descifrar. Quizás puede ayudar a la seguridad el no utilizar palabras muy básicas o típìcas como pueden ser, logeado, loged-in, yes , conectado, si, etc..

Muchas gracias