Seguridad para sesiones?

Ojete · #1 (**permalink**) 20/01/2011, 00:48

Tengo un buen rato tratando de averiguar como es esto de la seguridad para una sesion, para evitar que un usuario malintencionado tome el control de la misma, estos son algunos de los links que me he leido:

http://www.forosdelweb.com/f18/sesiones-seguras-528120/

http://www.forosdelweb.com/f18/sesio...as-php-240210/

http://www.forosdelweb.com/f18/sesiones-seguras-555868/

Estos son algunos de los códigos que se encuentran en los post que menciono anteriormente:

Código PHP:

Ver original<?php 
$_SESSION['logueo']['usuario'] = $_POST['usuario'];
  
 $_SESSION['logueo']['ipvisitante'] = md5($_SERVER['REMOTE_ADDR']);  
?>
 
 
<?php
session_start();
 
$id_sesion_antigua = session_id();
 
session_regenerate_id();
 
$id_sesion_nueva = session_id();
 
echo "Sesión Antigua: $id_sesion_antigua<br />";
echo "Sesión Nueva: $id_sesion_nueva<br />";
 
print_r($_SESSION);
?>

Me gustaría saber su opinión personal acerca del tema pues me gustaría hacer esto 100% seguro para evitar que tomen el control de alguna $_SESSION?

Si saben de alguna otra manera mas mejor o efectiva de hacerlo agradecería que la mencionaran, gracias...

pateketrueke · #2 (**permalink**) 20/01/2011, 01:11

creo que el primero punto de seguridad en sesiones es, desde luego, saber como y donde trabajan dichas funciones...

en este caso, es casi imposible que alguien tome control de una sesión, de un determinado usuario, ya que el manejo de las sesiones se hace en el servidor...

claro que, por cuestiones de reconocimiento del cliente es que se emplean cookies, y quizá ahí esta el talón de Aquiles en cuanto a que alguien tome control de nuestras aplicaciones...

por decirlo así...

Código PHP:

  // con cookies
if ( ! empty($_COOKIE['logeado']))
{
  // OK?
}

// sesiones
if ( ! empty($_SESSION['logeado']))
{
  // OK?
}

al ver el primer ejemplo se hace evidente la inseguridad, mientras que al usar sesiones, ya no es tan fácil que alguien cree especifico índice en tu sesión, pues eso lo controlan tus scripts, a través de las instrucciones que programaste... (:

por eso, la seguridad de las sesiones no recae en el funcionamiento mismo de las sesiones, la culpa como siempre es de programar precarias condiciones para el control de acceso a través de nuestras propias implementaciones...

Ojete · #3 (**permalink**) 20/01/2011, 01:29

Cita:

Iniciado por pateketrueke

la seguridad de las sesiones no recae en el funcionamiento mismo de las sesiones, la culpa como siempre es de programar precarias condiciones para el control de acceso a través de nuestras propias implementaciones...

"programar precarias condiciones para el control de acceso a través de nuestras propias implementaciones."

Admito que esto que acabas de decir me resulta un tanto dificil de entender

, podrías ampliar un poco los términos? como hago mi aplicación segura cuando a sesiones se refiere?

opzina · #4 (**permalink**) 20/01/2011, 01:36

"programar sencillas, básicas, pobre, inseguras, condiciones para el inicio de sesión a través de nuestro propio código creado".

Es decir, lee un poco más el manual, estudia, esfuérzate y has códigos más robustos, fuertes.

Ojete · #5 (**permalink**) 20/01/2011, 01:39

Cita:

Iniciado por opzina

"programar sencillas, básicas, pobre, inseguras, condiciones para el inicio de sesión a través de nuestro propio código creado".

Es decir, lee un poco más el manual, estudia, esfuérzate y has códigos más robustos, fuertes.

Para el log in tengo entendido que con mysql_real_escape_string pasar las $variables por metodo $_POST y un md5 para la password es sufuciente no? es necesario agregar algo mas?

Bueno y entonces para que complicar tanto eso de las seguridad de las sesiones si ya son seguras???

opzina · #6 (**permalink**) 20/01/2011, 01:48

las sesiones son seguras pero su "entorno", el que uno mismo desarrolla, debe ser seguro para reforzar a las mismas. Quizas alguien que quiere hacer daño no puede ingresar por las sesiones propiamente dichas, si no, ingresa por las debilidades del código que uno creo.

Ojete · #7 (**permalink**) 20/01/2011, 01:53

Cita:

Iniciado por opzina

Quizas alguien que quiere hacer daño no puede ingresar por las sesiones propiamente dichas, si no, ingresa por las debilidades del código que uno creo.

Entonces lo de las sesiones da igual si alteramos su id (manteniendo la informacion calro) como si no?

Donde podrian estar esas debilidades de codigo? en los inputs?

opzina · #8 (**permalink**) 20/01/2011, 02:00

pateketrueke habla de un talon de aquiles.