Ver Mensaje Individual
  #1 (permalink)  
Antiguo 27/09/2003, 10:36
kaslimon
 
Fecha de Ingreso: julio-2003
Ubicación: Sevilla
Mensajes: 86
Antigüedad: 21 años, 4 meses
Puntos: 0
Exclamación ¿como validar sesion y usuario?

¡hola genios!!

Tengo una duda que nome deja en paz.

Vereís estoy haciendo un scripts para codificar los datos de una sesion y luego validar al usuario y sesion en cada página (mediante un script que me encontre en el foro de php.net).Son dos funciones: una en la que genero una clave de acceso a traves de nick, ip , fecha de login... y otra para validar al usuario en cada página a la que se accede.

Por ejemplo:

$usuario_seguro=md5($nick . $password);

$_SESSION["clave_sesion"]=$hora_login.$ip_usuario.session_Id().$usuario_seg uro...

$_SESSION["usuario"]=$nick;

$_SESSION["sesion_actual"]=$nick."=".$_SESSION["clave_sesion"]


Y a continuacion en cada página

if (($_SESSION['sesion_actual'] != $_SESSION['usuario']."=".$_SESSION['clave_sesion'])
ok
else
echo "Su sesion ha expirado";


Mi pregunta es: He leido en muchos libros el peligro que entraña que el id de sesion se pase por URL, con dicho id se puede acceder a las variable de sesion, en tal caso ¡¡¡de que sirve todo lo que se hace en el scrip anterior??!!, un atacante sabe que solo tendrá que jugar con las variables de sesion que se pasan.

¿no seria mas logico hacer un md5 de nick, password y alguna cadena que solo conozcamos nosotros para realizar el proceso?
De esta manera el atacante debe saber la cadena o perder muchisimo tiempo mediante fuerza bruta.

¿como aconsejais vosotros hacerlo?¿Como se lo puedo poner dificil a los hackers?

Por ultimo y por curiosidad : ¿COMO SE PUEDE ACCEDER A LAS VARIABLES DE SESION OBTENIENDO EL ID A TRAVES DE LA URL?

Muchas gracias por vuestra paciencia.
Un saludo
__________________
"Quiero saber de todo.....y no se nada"

Última edición por kaslimon; 27/09/2003 a las 10:38