maldito SID (toma III)

Macro32 · #1 (**permalink**) 11/05/2004, 15:59

Hola...
en mi servidor tengo

1)session.use_trans_sid=ON (se supone q por defecto deberia estar OFF!!)...corresponde q mi proveedor del servicio de hosting...haga el cambio?

2)suponiendo q logre ponerlo en off....si el usuario no acepta cookies, entonces el SID podria propagarse en la URL, pero ya probe, usando el historial q el archivo del sID queda en el servidor, osea...pruebo varios minutos mas tarde, y el SID funciona......como se soluciona este problema de seguridad?....

cluster me dijo q eso dependia de session.gc_maxlifetime...esto como lo modifico en el servidor?...

Tambien he visto el php.ini en mi PC...y sugiere
session.use_only_cookies = 1 (por defecto 0 )
osea..el SID jamaz se pasaria por URL's

para evitar posibles ataques a usuarios....

Que puedo hacer?...gracias desde ya

Cluster · #2 (**permalink**) 11/05/2004, 21:00

2) session.gc_maxtimelife .. esa directiva define cuanto tiempo será válido ese SID que te pueda quedar en un historial de un navegador .. proxy .. etc.

Algunas directivas de php.ini puedes modificarlas vía ini_set() .. otras en .htacces y otras tantas sólo por php.ini (llamando a tu proveedor xD)

Un saludo,

Macro32 · #3 (**permalink**) 11/05/2004, 21:03

cluster ...si entendi bien...esto solo lo soluciona el proveedor ?

Macro32 · #4 (**permalink**) 11/05/2004, 21:09

ah....y como se modifican con el .htaccess (vi la opcion en el servidor!)
Gracias

Cluster · #5 (**permalink**) 11/05/2004, 21:22

Antes de meterte a probar con un .htacces o similar .. primero verifica que directivas puedes cambiar bajo esa modalidad:

www.php.net/session

La directiva en cuestión dice:
session.gc_maxlifetime "1440" PHP_INI_ALL

PHP_INI_ALL significa que puedes modificarlo por ini_set() .. por .htacces y por supuesto por php.ini (SYTEM)

Aquí tienes todas las directivas que puedes ajustar por ini_set()
http://www.php.net/manual/en/function.ini-set.php

Ahí tienes ejemplos (en los comentarios de los usuarios) para crear las entragas tipo php_value .. en tu .htaccess.

Un saludo,

Macro32 · #6 (**permalink**) 11/05/2004, 21:44

gracias cluster :)...ahora miro todo eso

Macro32 · #7 (**permalink**) 12/05/2004, 09:19

Cluster , probe lo q me dijiste...modifique el .htaccess

session.gc_maxlifetime=0 ...probe el phpinfo....efectivamente quedo en cero..hasta ahi barbaro.

Ahora...pruebo un SID de hace 42' ...y me sigue funcionando, como se explica?.

Cluster · #8 (**permalink**) 13/05/2004, 06:04

En teoría ese SID ya no debería ser válido ..

Revisa también el estado de:
session.cache_expire

y

session.gc_probability

más info: www.php.net/session

Un saludo,