Foros del Web » Programando para Internet » PHP »

Problema con sesiones

Estas en el tema de Problema con sesiones en el foro de PHP en Foros del Web. Bueno,debido a que muchas personas me han dicho que las cookies estan siendo bastante inseguras,estoy haciendo mi sistema de login a travez de sesiones.La cosa ...
  #1 (permalink)  
Antiguo 15/06/2006, 12:46
 
Fecha de Ingreso: mayo-2006
Ubicación: Argentina (Buenos Aires,CABALLITO)
Mensajes: 331
Antigüedad: 18 años, 6 meses
Puntos: 9
Problema con sesiones

Bueno,debido a que muchas personas me han dicho que las cookies estan siendo bastante inseguras,estoy haciendo mi sistema de login a travez de sesiones.La cosa es que el usuario se logea desde dominio.com,y el archivo donde recive los datos esta en un subdominio (foro.dominio.com).Si creo un archivo ahi,me toma las sesiones,pero en dominio.com,con el mismo archivo,no me las lee las sesiones..
que variable tengo que tocar para que esto no me suceda?
gracias..
  #2 (permalink)  
Antiguo 15/06/2006, 13:08
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 10 meses
Puntos: 129
Pues .. al usar sesiones lo recomendable es propagar el "SID" (Identificador Único de sesión) en una cookie .. así que tu veras ...

(no lo digo yo .. lo dice php.net en este documento que hace referencia en la documentación oficial sobre sesiones: http://www.acros.si/papers/session_fixation.pdf)

Si dices ya usar sesiones .. deberías especificar como propagas el SID .. "creo" que lo haces por cookies (aunque tu ni lo sepas) ... En consecuencia el problemas de "salto" de dominos o sub-dominos viene dado por esas cookies que PHP crea para propagar el SID. Una cookie no puedes crearla en un domino y accederla en otro .. Si hablamos de sub-dominios no tengo la documentación a mano .. pero está en como definir las propiedades del domino y/o paht de la misma (como vas a usar las cookies que PHP creará .. debes ajustarlo por la función o php.ini: session_set_cookie_params())

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #3 (permalink)  
Antiguo 15/06/2006, 16:58
 
Fecha de Ingreso: mayo-2006
Ubicación: Argentina (Buenos Aires,CABALLITO)
Mensajes: 331
Antigüedad: 18 años, 6 meses
Puntos: 9
me podrias pasar un script bien sintetico de logeo del usuario y la verificacion?
  #4 (permalink)  
Antiguo 16/06/2006, 02:23
 
Fecha de Ingreso: diciembre-2004
Mensajes: 98
Antigüedad: 19 años, 11 meses
Puntos: 0
Seguimos con las sesiones

Buenos días a todos:
Para Cluster, ya me lei el pdf que decias, aunque me costó y creo que entendí unas cosas, otras solo lo creo y el resto ni idea.
Veras, empiezo las páginas restringidas con:
ini_set("session.use_only_cookies","1");
ini_set("session.use_trans_sid","0");
session_start();
session_set_cookie_params(0,"/",$HTTP_SERVER_VARS["HTTP_HOST"],0);

Se supone que de esta forma solo se trasmite el ID por cookies y ademas se le da el valor cero, con lo cual desaparecería al cerrar el navegador o pasar a otra URL diferente.
La cuestión esta en que ini_set("session.use_trans_sid","0");solo se puede cambiar modificando .htacces y de eso no tengo ni idea, ademas este fichero, ¿donde se encuentra? ya que en el servidor del dominio que uso he visto varios y en carpetas diferentes.
Otra cosa, ¿si solo trasmitimos el ID por cookies ¿existe alguna forma de detectar si el usuario admite o no dichas galletas?, para en el caso afirmativo ir a una página que le diga que modifique y las admita aunque sea en el nivel mínimo.
Muchas gracias por vuestra atención.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:01.