¿ Evitar robo de sesión ?

davidj · #1 (**permalink**) 19/04/2012, 12:49

Hola a todos!

Hace tiempo, en un manual de php se mostraba como crear un código para evitar robo de sesiones. Es el siguiente:

$user_check = md5($_SERVER['HTTP_USER_AGENT'] . $_SERVER['REMOTE_ADDR']); // Encriptamos navegador empleado + dirección IP

if (empty($_SESSION['user_data']))
{
session_regenerate_id( );
$_SESSION['user_data'] = $user_check;
}

if (strcmp($_SESSION['user_data'], $user_check) !== 0)
{

session_regenerate_id( );
echo ("Error. Debe loguearse de nuevo.");
$_SESSION = array( );
$_SESSION['user_data'] = $user_check;

}

El problema que tengo es que siempre me pide "debe loguearse de nuevo" desde mi teléfono móvil..., en el PC siempre va perfecto.

¿ Alguien sabe a que se debe?

Un saludo a todos!

GatorV · #2 (**permalink**) 19/04/2012, 13:03

El código se ve bien pero para que veas el problema como tal, guarda el valor de $_SERVER['HTTP_USER_AGENT'] y $_SERVER['REMOTE_ADDR'] en algún log o archivo para que veas que valores tiene cada que lo intentas desde tu teléfono móvil...

Saludos.

wsoul · #3 (**permalink**) 19/04/2012, 13:35

prueba con wifi haber si te va bien, a mi muchas veces es por que la conexión se corto

davidj · #4 (**permalink**) 20/04/2012, 13:26

He leído en otros foros que los moviles utilizan proxys o direcciones dinámicas, por lo cual es probable que la IP varie regularmente...

¿ Que opinais ?

Chico3001 · #5 (**permalink**) 20/04/2012, 13:59

Es altamente probable.... por lo que no vas a poder confiar en la direccion IP que leas, para resolverlo, hay que saber como se esta generando la sesion en la funcion session_regenerate_id, mientras tanto lo que yo hago es crear un token al azar y almacenarlo en una base de datos con una hora de salida, ese token lo asigno a la superglobal de session y lo comparo cada vez que el usuario entra, pero ademas se genera uno nuevo y se repite el ciclo, hasta que expire el tiempo de salida o el usuario decida salir...

Como el token varia cada vez que el usuario visita la pagina (aunque sea la misma) es muy dificil poder robarlo

zo0r · #6 (**permalink**) 20/04/2012, 14:30

Buenas.

Cita:

Iniciado por Chico3001

Es altamente probable.... por lo que no vas a poder confiar en la direccion IP que leas, para resolverlo, hay que saber como se esta generando la sesion en la funcion session_regenerate_id, mientras tanto lo que yo hago es crear un token al azar y almacenarlo en una base de datos con una hora de salida, ese token lo asigno a la superglobal de session y lo comparo cada vez que el usuario entra, pero ademas se genera uno nuevo y se repite el ciclo, hasta que expire el tiempo de salida o el usuario decida salir...

Como el token varia cada vez que el usuario visita la pagina (aunque sea la misma) es muy dificil poder robarlo

Ese método no está mal, pero la optimización se va para el piso, estas enviando una SET COOKIE cada vez que el usuario visita una página, aparte que internamente (Ya sean archivos o MySQL (Véase session_set_save_handler())) se tienen que actualizar los datos (ID de sessión etc), o lo que es peor, borrar y crear nuevamente.

Para robarte una sesión (COOKIE en todo caso) hay dos maneras principales, capturandote el tráfico de la red en que te encuentras o con un XSS. El primero no lo hace todo el mundo y con SSL se soluciona, el segundo hoy en día se puede evitar con activar la opción HTTP ONLY para la COOKIE (Así evitamos obtenerla desde document.cookie) ya que casi todos los navegadores los soportan (IE7+, Chrome, Firefox, Safari, Opera).

Por ejemplo si usamos sesiones, podemos luego de iniciarla usar setcookie() y activar el parámetro o antes de usar session_start() usamos session_set_cookie_params(), el parámetro en ambas es (bool $httponly = false).

http://us3.php.net/manual/en/function.setcookie.php
http://www.php.net/manual/en/function.session-set-cookie-params.php

Saludos.

davidj · #7 (**permalink**) 17/05/2012, 08:54

Gracias por vuestras ideas...

¿ Alguien tiene alguna idea más para evitar robo de sesiones ??