Cita:
Iniciado por chronos682 Pero entonces si enviar el SID por URL o por POST es riesgoso y si se puede obtener la cookie de sesión a través de ataque MiTM, cómo se debe hacer la propagación de la sesión?
Lo principal es no confiar nunca en el usuario, sobre todo si la sesión corresponde a niveles de administrador o moderador, en ese caso, guarda la IP del usuario en variable de sesión y en cada petición compara con la IP que te envía el navegador. Por supuesto, no hay sistema 100% seguro, pero acciones como esta ayudan un poco a minimizar los riesgos.
xfxstudios, vaya, entonces parece que aunque no sea tu intención, ni necesites leer el manual... sí usas cookies para propagar la sesión!
P.D. Por favor no publiques mensajes consecutivos, si te falto agregar algo y no hay respuestas posteriores, puedes editar tu mensaje.