Ver Mensaje Individual
  #12 (permalink)  
Antiguo 24/03/2006, 13:07
Cluster
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 10 meses
Puntos: 129
Cita:
Iniciado por Enea
Jo, y que puedo hacer? la mayoría de gente usa IE...
Como no muestre un texto explicativo de como bajar la seguridad...
Esto es problema del usuario .. de que -sepa- usar su navegador (disculpen que sea "duro"). Mi argumento tal vez es "duro" por qué no desarrollo sitios que usen sesiones para la web sino que me enfoco en Intranets/extranets .. Tal vez el concepto cambie ahí .. pero la filosofía y fondo es el mismo: no es un capricho, es por la seguridad de los usuarios de esas aplicaciones.

Yo en mis aplicaciones aviso de que el sitio requiere de cookies, para la gente paranoica que anda bloqueandolas todas: si de verdad sabe lo que hace, ya verá la solucitud de ingreso de la cookie de mi sitio y si de verdad quiere usarlo .. ya hará lo que se le sugiere.

Para apoyar esta idea, .. el tema es por -su- seguridad ..

Hay mucha gente por ahí que usa firewalls, antivirus, barras de navegación con funcionalidades de "bloqueo" de cookies que NO SABEN ni que está ni usarlo ni que implica una "cookie" y de que tipo sea esta cookie .. así que la tendencia es a "bloquear" todo ..y bueno .. esto no es tan así .. NO toda las cookies son "malas". Sólo hay que -saber- quien te está pidiendo crear una cookie (y para eso IE por ejemplo tiene un modo para los "paranoicos" de nivel de seguridad que dice algo así como: preguntame que cookie quiere crearse en mi equipo .. y así yo decido).

De todas formas ya has comprobado que en PHP puedes propagar el SID en el URL .. usalo si no quieres problemas con tus usuarios y corre el riesgo. Te invito a leer este documento sobre esos riesgos:

http://www.acros.si/papers/session_fixation.pdf

Esto lo recomienda (su lectura) directamente PHP:
www.php.net/session

Cita:
Sessions and security
External links: Session fixation

The session module cannot guarantee that the information you store in a session is only viewed by the user who created the session. You need to take additional measures to actively protect the integrity of the session, depending on the value associated with it.

Assess the importance of the data carried by your sessions and deploy additional protections -- this usually comes at a price, reduced convenience for the user. For example, if you want to protect users from simple social engineering tactics, you need to enable session.use_only_cookies. In that case, cookies must be enabled unconditionally on the user side, or sessions will not work.

There are several ways to leak an existing session id to third parties. A leaked session id enables the third party to access all resources which are associated with a specific id. First, URLs carrying session ids. If you link to an external site, the URL including the session id might be stored in the external site's referrer logs. Second, a more active attacker might listen to your network traffic. If it is not encrypted, session ids will flow in plain text over the network. The solution here is to implement SSL on your server and make it mandatory for users.


Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.