Hola a todos..
No se si es el lugar correcto para escribir el tema, si es necesario cambiarlo de lugar adelante....
Mi duda es si se pueden observar las variables de session en alguna herramienta como el firebug u otra ????
27/09/2010, 17:17
| |||
| |||
| Ver variables de session. Hola a todos.. No se si es el lugar correcto para escribir el tema, si es necesario cambiarlo de lugar adelante.... Mi duda es si se pueden observar las variables de session en alguna herramienta como el firebug u otra ???? |
|
27/09/2010, 19:38
| ||||
| ||||
 Respuesta: Ver variables de session. Hola, Las variables de sesión no pasan al browser, solamente el ID de la sesión por medio cookies, y si estas últimas están deshabilitadas y el servidor lo detecta entonces por medio de un parámetro de GET o un campo de POST. Dependiendo del servidor y otros factores. Si estas usando NetBeans o Eclipse (posiblemente otros) cuando ejecutes la aplicación en modo de depuración (Debug), puedes inspeccionar las variables de sesión desde el IDE. Saludos, |
|
27/09/2010, 21:01
| |||
| |||
| Respuesta: Ver variables de session. Hola HackmanC. Lo que pasa es que estoy realizando una pagina web y me estoy dando cuenta al momento de depurar con el firebug que puedo cambiar los valores de los campos hidden que utilizo cuando mando por el post. Por eso preguntaba si las variables de session se pueden ver por medio de un programa como este estilo, ya que por seguridad quiero mantener los valores mas principales en variables de session en lugar campos ocultos. Tambien agradecere si me puedes ayudar o cualquier otra persona con estos temas de seguridad, que pueden ser manipulados por un usuario malitencionados.... De antemano gracias..... |
|
28/09/2010, 02:03
| ||||
| ||||
| Respuesta: Ver variables de session. Hola, Las variables de sesión no es posible verlas externamente, es decir, sin iniciar el servidor en modo de depuración y conectarse a un puerto de depuración específico y para eso necesitas saber una contraseña administrativa del servidor de aplicaciones. Hasta donde llega mi conocimiento no puedes hacer nada simple para verlas o cambiarlas, tendrías que lograr subir código al servidor por algún medio y eso es bastante complicado, pero siempre hay que tener en cuenta muchos detalles a la hora de diseñar la aplicación. Como por ejemplo la inyección de código a traves de consultas SQL, la ejecución de código por medio de 'uploads' no controlados, etc. Ahora el caso de la seguridad del cliente es otra cosa, el cookie se guarda en el browser del cliente, y en otros casos el ID de sesión se pasa por el URL cuando los cookies no están habilitados, lo que expone un riesgo extra. Eso es hasta donde llega mi conocimiento al respecto, Saludos, |
|
28/09/2010, 07:59
| |||
| |||
| Respuesta: Ver variables de session. no es recomendable mantener en sesion las variables, si, los valores se pueden cambiar en el momento del envío con alguna aplicación como webscarab, ahí como seguridad lo único que puedes hacer son validaciones en servidor para que concuerden los datos y no se salte ninguna excepción, pero si lo que quieres es mantener las variables "hidden" en sesión , al volver al action tienes que encargarte de destruirlas |
|
02/10/2010, 04:57
| ||||
| ||||
| Respuesta: Ver variables de session. Hola, Cita: Si cada vez que haces un POST o GET destruyes la sesión, ¿entonces para que tienes una sesión abierta?. Creo que estás confundiendo las Variables de Sesión con los Parámetros del URL o los campos del POST.
Iniciado por ismatp  ... pero si lo que quieres es mantener las variables "hidden" en sesión , al volver al action tienes que encargarte de destruirlas Aclarando ... todo lo que pasa por el POST o GET se puede modificar fácilmente con firebug, o muchas otras herramientas, que es muy parecido a lo que hace webscarab. Una vez aclarado esto ... pero las variables de sesión no son accesibles externamente, nadie puede modificar un valor almacenado en una variable de sesión, lógicamente sino pasó por el GET o POST. Veamos un ejemplo:
Código:
En ese caso yo puedo modificar el valor 10 simplemente cambiándolo en el URL, en el caso de POST simplemente tengo que utilizar firebug. Pero una vez está en una variable de sesión no es posible cambiarla externamente.http://www.demo.org/index.jsp?valor=10
Código:
En este último caso sería interesante saber como modificar el valor de la variable de sesión "valor" y cambiarle el valor 10 con firebug, webscarab o cualquier otra herramienta. A esto es lo que yo me refería al decir que no son modificables y no existe ningún inconveniente, posiblemente solo de desempeño, etc.session.setAttribute("valor", 10);
Saludos, |
|
29/10/2010, 16:18
| |||
| |||
| Respuesta: Ver variables de session. Muchas gracias HackmanC. Tomare en cuenta lo que has comentado, lo tomare en cuenta. Pero tambien es una buena idea lo de ismatp, validar los valores que estoy recibiendo por lado del servidor. Igual eso tendre que revisar en que parte realizarlo ya que no seria conveniente estar revisando cada rato las variables. gracias.......  |
| Etiquetas: |
