Que es mejor, validar sesiones por IP o por Cookie?

Saludos!!

Me gustaria saber su opinion sobre que manera es la mejor para vaidar las sesiones, por IP o cookie, y porque cren que es mejor uno u otra.

Hasta ahora he usado las cookies, pero creo que por IP tiene mas ventajas en cuanto a seguridad, ¿sera asi?, no lo se, por eso me gustaria saber su opinion.

De antemano, gracias.

Todo depende de para qué lo quieras. Sabes que la mayoría de las IP de los visitantes de un sitio son dinámicas por lo que no sirven mucho para dejar registro de visitas a no ser de que se convine con una cookie.
Las sesiones, si utilizas PHP, utilizan una cookie creada por un objeto SESSION que a su vez utiliza la IP por lo que resulta medianamente seguro pero si lo que deseas es un nivel avanzado de seguridad deberías pensar en protocolos un poco diferentes como lo es HTTPS.

Saludos jenusys!!

Sobre el protocolo HTTPS, no lo tengo en cuenta ya que la tematica de la pagina no lo requiere, almenos no por el momento.
Sobre las IP dinamicas, eso no lo habia pensado, si el usuario selecciona "recordar sesion" y entra con otra IP, lo anterior no habra servido de nada, aunque con cookie puede pasar lo mismo si el navegador esta programado para borrar los datos de internet al cerrarlo, pero esto ultimo creo que es menos probable.
Y si, estoy utilizando PHP, lo que hago actualmente es lo siguiente:

- Verificar si existe la cookie "fulanita_sid" y comprobar si esta registrada en "sesiones" de la BD
- Si la cookie no existe verifico si se envio $_GET['fulanita_sid'] e igual la compruebo en la BD
- Si esta continuo la sesion con ese ID
- Si no esta, creo un nuevo ID (con UNIQID y MD5), creo la cookie, registro la ID en la BD e inicio la sesion con el ID creado

Lo que tenia pensado hacer si uso la IP:

- Optener la IP y comprobar si esta registrada en "sesiones" de la BD
- Si esta le asigno a la sesion como ID la IP
- Si no esta y la funcion para obtener la IP no retorna "desconocida" registro la IP en la BD e inicio sesion con la IP obtenida como ID
- Si IP es "desconocida" mato la salida con DIE o EXIT y un mensaje del porque.

...Pensandolo bien, creo que sera un fastidio si trabajo las sesiones con IP, pues no tenia contemplado, ademas de las IP dinamicas que mencionas, los servidores proxy .

no se puede usar IP como id de sesión porque existen muchas redes de usuarios que se escudan bajo una misma IP gracias a los proxys

el id de sesión es independiente de la IP del visitante, en cuanto al registro de sesion permanente lo que se hace es crear una cookie que no expire, por lo que la dirección IP es irrelevante

Yo no uso ninguna de las dos amigo prueba con buscar sesiones en php.

Saludos maycolalvarez!!

Asi es, y como lo dije enteriormente, no lo tenia contemplado, no se en que estaba pensando, creo que las desveladas ya me estan friendo el cerebro, pero igual gracias .

Yo utilizo las dos:


Y en cada pagina para verificar si está el usuario logueado:

@shujidan: no debes usar IP's para este tipo de validaciones porque no funcionarán en caso de proxys

Entonces la mejor forma de manejar sesiones es con variables globales? o como haces tu maycolalvarez?

el módulo Session de php se encarga de todo ello, solo basta configurarlo adecuadamente en el caso de necesitar un HASH más preciso, pero hasta ahora no he tenido problemas con más de 1000 usuarios online.