31/10/2018, 10:17
|
| | Fecha de Ingreso: abril-2006
Mensajes: 583
Antigüedad: 18 años, 7 meses Puntos: 120 | |
Respuesta: ¿Es correcta esta forma de mantener al usuario logueado? Cita:
Iniciado por juanito1712 alvaro_trewhela.
hay un único string por usuario, a cada inicio de sesión cambia el string y en caso de acceder desde otro equipo el anterior dejaría de existir y su "sesion" moriría si cometes el error de mantener la sesión abierta en un equipo ajeno se destruirá al iniciar sesión de nuevo
jsstoni
1)no entiendo que beneficio se puede tener de obtener la cookie y volverla a crear mas adelante, a cada login el string cambia, son como cookies de usar y tirar, en la cookie no almaceno el usuario al que pertenece solo el string y a partir de el se loguea al usuario y se genera a uno nuevo para la proxima vez.
2)Es lo que me inquieta, si alguien acertase el token existente de cualquier usuario, podria iniciar por cualquiera, es lo que me inquieta de todo esto desde el principio.
Es un token alfanumérico descaradamente largo y tras un intento fallido bloqueo la ip desde la que ha llegado pero... no se si debería inquietarme o esto está bien planteado así - el beneficio de secuestrar cookies es que , si tu usuario es atacado y le roban la cookie, un usuario ajeno, puede ingresar desde otro ordenador y realizar cualquier actividad de tu usuario legitimo, ya que hasta que el usuario habra otra session en otro ordenador puede pasar horas o dias, tiempo suficiente para un persona ajena haga lo que quiera
- si los tokens son faciles ed adivinar ten por seguro que asi seria, pero ponle mas ENTROPIA a los token, usa variables, como microsegundos,IP del cliente, multiplica los puntos donde estuvo el MOUSE,etc
generalmente el secuestro de sessiones o Cookies, solo es de importancia para webs que manejen Asuntos de DInero, si tu we trabaja bajo SSL/HTTPS, es dificil secuestrar Cookies, si es por HTTP, tu usuario se coencta por Wifi, es sencillo que un Tercero se cuele y le copie los datos.
__________________ Mis aportes te ayudaron??, te hicieron ahorrar valiosos tiempo??, si quieres puedes agradecerme con un Gracias o con una donacion https://paypal.com/pools/c/8lmNLmWnG9 |