Ver Mensaje Individual
  #7 (permalink)  
Antiguo 28/04/2010, 11:04
cocodj69
 
Fecha de Ingreso: marzo-2008
Mensajes: 220
Antigüedad: 16 años, 8 meses
Puntos: 0
Respuesta: pasar de HTTP a HTTPS

Cita:
Iniciado por abimaelrc Ver Mensaje
Estas mezclando lo que te quiero decir. Primero si estas usando un solo dominio pero solo cambias de HTTP a HTTPS no pasa el valor del id de la sesión.
Si que lo pasa!! Se mantiene el session_id pero no las variables de session. Tengo que comprobarlo pero según lo que he leido entre el mismo dominio ocurre así!!

Cita:
Iniciado por abimaelrc Ver Mensaje
Una forma de lograrlo es como indicaste de la base de datos. Pero vamos a suponer que yo me conecto y se guarda esa información en la base de datos y tu también te conectas y se graba tu información en la base de datos. Cuando vayas a pasar a https vas a verificar en la base de datos la información pero ¿cómo va a saber el sistema que id de sesión me corresponde a mi y a ti? Vas a tener que grabar en algún lugar información básica mía que cuando hagas el query pueda identificarme y me traiga entonces la información de la sesión. Entonces te pregunto ¿cómo piensas lograr eso?
En caso de perdudar el session_id tendría que pasar el session_id de http a https a través de la url ( get or post ), o añadir en la tabla de las sesiones un nuevo campo donde iria el usuario_id ( md5(ID_USER + TIME() ) ) y al pasar de http a https pasaría dicho valor y entonces realizaria la validación; Podría incluso añadir también la IP también y compararla; y incluso un periodo máximo de 30 segundos para realizar dicha comprobación

Que te parece? Tienes alguna otra opción? Lo que esta claro es que si el session_id no persite hay que pasar SI o SI de Http a Https algún identificador para extraer la información de la base de datos!! Suponiendo que las variables de sesión se guardan en DDBB,¿ sería seguro pasar el SID como parametro para extraer la info de la DDBB dado que aunque la intercepten, la cookie en el servidor estará vacia????