Foros del Web » Programando para Internet » PHP »

Robo de sesiones¿ como proteger?

Estas en el tema de Robo de sesiones¿ como proteger? en el foro de PHP en Foros del Web. he leido en internet que hay metodos para extraer las cookies creadas por la sesion mientras esta en tranfico en la red. y las recomendaciones ...
  #1 (permalink)  
Antiguo 28/12/2014, 18:42
 
Fecha de Ingreso: agosto-2012
Ubicación: M.
Mensajes: 2.031
Antigüedad: 12 años, 4 meses
Puntos: 52
Robo de sesiones¿ como proteger?

he leido en internet que hay metodos para extraer las cookies creadas por la sesion mientras esta en tranfico en la red.
y las recomendaciones es usar el https para que la informacion este cifrada y no funcione para esos sevicios que la interceptan.
creen que halla una manera manual para saber que el usuario es autentico y no es la persona que halla robado la sesion?
algo asi como guardar en la sesion la direccion ip y mas informacion para confirmar que es autentico? o estare muy perdido?
de antemano gracias.
por cierto
¿por que si se inicia sesion con http://www no lo toma en cuenta cuando se quitan las www y solo se pone el http:// como si fuera otra pagina sin sesion y vicebersa?

se me ha ocurrido proteger comparando con la session_id(), cada vez que el usuario inicie sesion en otro lugar se le cierre la sesion donde la dejo abierta
pero que tan seguro es esto?
de antemno gracias
__________________
a veces creemos que es algo básico pero al profundizar nos damos cuenta que estábamos tocando solo la cola de la culebra

Última edición por minombreesmm; 28/12/2014 a las 19:47
  #2 (permalink)  
Antiguo 29/12/2014, 06:40
Avatar de Djoaq  
Fecha de Ingreso: septiembre-2012
Ubicación: Barcelona
Mensajes: 271
Antigüedad: 12 años, 2 meses
Puntos: 38
Respuesta: Robo de sesiones¿ como proteger?

Hola , evidentemente un ssl encriptara las comunicaciones, pero tal como lo veo , si roban la cookie del usuario pueden suplantar la session ( lo que se conoce como hijacking ), para ello hay tantas técnicas como imaginación tengamos.(otra cosa es que sea mas o menos efectivo).

Lo mas fácil que se me ocurre es que podrías capturar el user agent del usuario que visita la página y comprobar si existe session y si existe si es el mismo user agent,tampoco es que sea muy seguro porque el user podría falsear las cabeceras, luego podrias capturar la ip cuando se abre session ... y comprobar las 2 cosas pero también es falseable con proxies.

Un saludo!
  #3 (permalink)  
Antiguo 01/01/2015, 13:20
 
Fecha de Ingreso: agosto-2012
Ubicación: M.
Mensajes: 2.031
Antigüedad: 12 años, 4 meses
Puntos: 52
Respuesta: Robo de sesiones¿ como proteger?

Cita:
Iniciado por Djoaq Ver Mensaje
Hola , evidentemente un ssl encriptara las comunicaciones, pero tal como lo veo , si roban la cookie del usuario pueden suplantar la session ( lo que se conoce como hijacking ), para ello hay tantas técnicas como imaginación tengamos.(otra cosa es que sea mas o menos efectivo).

Lo mas fácil que se me ocurre es que podrías capturar el user agent del usuario que visita la página y comprobar si existe session y si existe si es el mismo user agent,tampoco es que sea muy seguro porque el user podría falsear las cabeceras, luego podrias capturar la ip cuando se abre session ... y comprobar las 2 cosas pero también es falseable con proxies.

Un saludo!
Pues estoy guardando el session_id en un campo y ese es el que compruebo cada vez que entro a una pagina, lo compruebo al igual que si una sesion existe
__________________
a veces creemos que es algo básico pero al profundizar nos damos cuenta que estábamos tocando solo la cola de la culebra

Etiquetas: robo, sesiones
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 00:58.