Validacion de sessionid

LEWISH · #1 (**permalink**) 08/11/2008, 17:48

Hola,

Mi pregunta es la siguiente:

en caso de que el cliente no tenga cookies o no los acepte, como hace el servidor para validar la información de sessionid, si no tiene contra que validarlo, es decir no hay cookies en el cliente que puedan almacenar esa información para su comparación.

Ahora bien, es posible que existiendo cookies para tal fin, yo pueda exportarlas a una carpeta, dicha carpeta la guardo en una usb para después importarlas en el navegador de otro pc y poder entrar al mismo sitio con la misma sesión(la almacenada en las cookies), si es así, seria preferible borrar todas las cookies cada vez que cierro el navegador. Pero volvería a la pregunta inicial. Como haría el servidor para validar la sessionid sino tiene una cookie en el cliente con la misma sessionid para comparar?

gracias

Shiryu_Libra · #2 (**permalink**) 08/11/2008, 19:27

por lo regular, lo que comunmente se realiza, es tomar la IP del visitante, crear cierta semilla administrativa... por resultado, la cookie.... por lo regular

ahora, hay otras ocasiones, en las cuales tambien se toma la IP, pero la informacion es almacenada en una tabla para los usuarios....

en cierta ocasiones una tabla temporal, asi no consume tanto fisicamente y despues se elimina facilmente

respecto a tener la cookie, llevarla a otra pc, pues no me suena a que funcione... no lo he intentado tampoco.... asi que, esperare a que responda alguien mas

JuanRAPerez · #3 (**permalink**) 08/11/2008, 21:46

un poco de lectura

suerte

http://www.aspfacil.com/articulos/210301_2.asp

LEWISH · #4 (**permalink**) 09/11/2008, 13:12

Muchas gracias por sus respuestas, he leído el post que me sugirió JuanRa Perez, me pareció bueno pero no resolvió del todo mi duda con respecto a la identificación del pc cliente, me explico:

cuando yo hago login en una cuenta cualquiera(nombre y password), y mi sistema no acepta cookies, la variable de sesión imagino que se colocaría en la url. Eso me sirve para identificar al cliente por su login,. Pero digamos el caso en que esa cuenta deba loguearse desde un solo computador. Como haría el servidor para identificar la pc (# targeta de de red, resolución monitor, pluggins, etc), de tal forma que haya una alta probabilidad de que el cliente es el que dice ser (aunque en las cabeceras de http se envía cierta información como versión del sistema operativo). En otras partes le llaman la huella pc. O es que entonces se necesitan definitivamente las cookies para esto?
De ser así, entonces la seguridad en cookies como seria, puesto que podría pasar las coookies de un pc a otro para acceder a la cuenta de otro.

He investigado mucho en internet sobre esto, hablan sobre la huella del ordenador, pero no dicen nada sobre como se toma esa huella

muchas gracias

Shiryu_Libra · #5 (**permalink**) 09/11/2008, 13:40

pero en ese sentido tendrias que programar un ActiveX, el cual por lo regular corre en IE, algunos otros metodos podrian ser un cliente AIR o similares

... es para intranet o internet???

JuanRAPerez · #6 (**permalink**) 09/11/2008, 14:38

bueno si explicas un poco mas quizas aguien te pueda orientar mejor

- sessiones no es cookies
- no necesariamente la envias por URL, ma lees cada vez y la validas contra tu base de datos
- puedes buscar en la red como "obtener la mac address de una tarjeta de red" pero???

sera posible en internet obtener la MAC address de un cliente
las políticas de seguridad te lo permitirán???

la idea es limitar al usuario a una sola instancia a la vez
o desde una unica maquina ?