no cerrar sesion con cookies

juanito1712 · #1 (**permalink**) 22/03/2011, 05:57

estoy pensando en eso que hay en los formularios de login para no cerrar sesion y tratando de hacerlo

lo primero que pense fue poner en una cookie el numero de usuario y entonces si la cookie existe loguear a dicho usuario

pero eso me hace pensar que si cambias el numerito de la cookie cualquiera puede loguearse

por lo que pensé añadirle como una contraseña, no la del propio usuario, que se generase al crear la cookie y se guardase en mi servidor, también, entonces necesitaría el usuario y esa contraseña que se ha generado

eso es seguro?

maycolalvarez · #2 (**permalink**) 22/03/2011, 08:43

la única característica para que la sesión no expire, es establecer a la cookie que no expire, realmente no entendí que es lo que quieres lograr: ¿permitir al usuario tener la sesión siempre activa, o que?

sin la cookie, no puedes reconocer al usuario en sesión, y dentro de las formas de "robar" esa cookie de sesión, existen los ataques XSS, que son los que debes prevenir.

juanito1712 · #3 (**permalink**) 22/03/2011, 08:57

si, como por ejemplo en gmail lo de no cerrar nunca sesion, que abro gmail y accedo directamente a mi cuenta sin contraseña, pero no se que tipo de sistema debería emplear para que eso fuese seguro

para el usuario lo mantengo en sesion con una variable de sesion en php almacenando el id del usuario para tenerlo controladito, pero por ejemplo, si pusiese en la cookie simplemente el id de usuario cualquiera que hiciese pasar un txt por la cookie en cuestion poniendo cualquier numero de usuario iniciaria la sesion de cualquier otro

eso es lo que quier evitar

maycolalvarez · #4 (**permalink**) 22/03/2011, 09:07

lo que guarda php en sessión es un HASH del numero aleatorio generado para el usuario, los datos de la sesión se almacenan en el servidor, y es muy baja la probabilidad de duplicar la sesión de un usuario, además en la configuración de php puedes cambiar incluso el algoritmo por SHA1, MD5 u otro.

te repito, una de las formas más comunes de robar la cookie de la sesión es por XSS.

juanito1712 · #5 (**permalink**) 22/03/2011, 09:14

no a ver, en el tema de la sesion en php no tengo problema, la cuestion es eso que digo, la opcion de no cerrar sesion, eso deberia guardarlo en una cookie para cuando al cargarla cree la variable de sesion con ese usuario

por eso no se como hacerlo porque si modificase la cookie poniendo cualquier otro numero valido de un usuario en un principio, si solo incluyese ese dato podria hacerlo

maycolalvarez · #6 (**permalink**) 22/03/2011, 09:45

no estás comprendiendo, para que el usuario conserve la sesión, se configura la cookie de manera que ésta no expire, así que cuando el usuario regresa no se tiene que generar otro id de sesión, no se generará una cookie, será la misma cookie con que se logeo

juanito1712 · #7 (**permalink**) 23/03/2011, 11:14

no pero los logueo mediante variable de sesión no mediante Cookies, cuando mire lo de loguear comence a hacerlo por variables de sesión en porque lo de las cookies me parecía mas inseguro

maycolalvarez · #8 (**permalink**) 24/03/2011, 10:29

¿comprendiste lo que te dije?: las sesiones utilizan una cookie., de lo contrario propagarían el id de sesión por URL

juanito1712 · #9 (**permalink**) 27/03/2011, 21:07

no lo comprendo, yo para sesiones creo una variable global con php que no envio por ninguna url y recupero desde cualquier página sin que nadie se entere, no utilizo cookies para nada