Foro de elhacker.net

Estaba leyendo un manual de las sesiones, en el cual explica que se pueden manejar las sesiones con o sin cookies..
pero cual es mejor??

Muchas Gracias.
Saludos.

En aspx.net, no es recomendable el uso de sessiones, porque tiene un tiempo determinado de vida.

A mí parecer, no soy un gran experto, pero las cookies pueden ser peligrosas por varias razones:

1ª- Facilmente leibles por los usuarios (malintencionados o no).

2ª- No todos los usuarios tienen permitidas las cookies en sus navegadores, pongamos un ejemplo: Alguien monta un ciber y sabe de que va el tema, desactiva las cookies por problemas que puedan derivarse, todos sabemos que existen cookies malintencionadas programadas con malicia, Yo no me arriesgaría, viene el usuario intenta entrar a su pagina favorita (La tuya en este caso) y que pasa , vaya no podemos entrar, consecuencia nos vamos a otro sitio que puede ser que nos guste más y no da problemas.

3ª- Problemas con terceros: Entrando en temas más complicados existen tambien paginas malintencionadas que modifican las cookies de url "buenas" y puede ocasionar problemas. pongamos un ejemplo: un usuario normal, entra en tu pagina con unas cookies "bienintencionadas", este usuario el pobrecillo se mete en paginas de honor dudoso, y mediante javascript o como sea, chupan tus cookies y te las reinyectan. Problemon. para tí sobre todo.

CONCLUSIÓN: no vamos a maldecir a las cookies que para algo estan, pero son peligrosillas, si montas cookies procura no poner la mínima información sensible. no quieras saber más del usuario de lo que necesitas. Mi opinion personal cual es, si puedes evitarlas evitalas, almenos a mí no me gustan. Las sesiones son más fiables a mi parecer. Cada cual tiene su forma de trabajar.

Un saludo a todos.

sesiones son mejores xD

jajaja, es que las sessiones usan cookies, no es que existe solo cookies por separado, yo pienso, depende de lo que quieras hacer, y si es peligroso o no es cuestion del programador.

por mi usa cookies, almacenan informacion que no es posible hacerlo de otra manera.


saludos

Las sesiones no usan cookies man....
El uso de cookie se usa para enviar el nombre de la sesión a llamar, también se puede hacer vía GET... Asi que las sesiones no usan cookies ni nada por el estilo, osea los datos se guardan en el servidor y no en el cliente...

Si si se pueden usar las sesiones sin las cookies, en este caso se guardan en PHPSESSID, misma que se guarda en la variablae $_SESSION...
Pero es que si se usan el PHPSESSID pasa en la URL y con el riesgo de que si se guarda la URL en algun marcador puede ocasionar problemas con las sessiones vs. las cookies que pueden no ser aceptadas por el usuario.

El ID de session, se puede pasar por un campo oculto en un formulario POST, pero que tan seguro puede ser esto ?

Saludos.
 :-\

Las sessiones no usan cookies? es una afirmacion?, no necesariamente usan cookies, pero para entrar a una session, lo más recomendable es utilizar cookies.

"Y para que no perdamos el hilo de la navegación del usuario deberemos asociar esta sesión a todas las URLs y acciones de formulario. Podemos también crear un cookie que incluya el identificador de sesión, pero es conveniente recordar que la disponibilidad o no de las cookies depende del usuario, y no es conveniente fiarse de lo que un usuario pueda o no tener habilitado."

normalmente, una web con sessiones utiliza cookies, y tambien normalmente, están activadas.


saludos

las sesiones si tienen que respaldarse bajo una cookie.

si tu haces una pagina que maneje sesiones, tu id de session sera el phpsessid que se te da como una cookie, ya el manejo de datos en esa sesion sera determinado por php.

 >:(

la url es segura siempre y cuando el token sea imposible de conseguir..., hay veces que sacan el algoritmo para sacar el token : ej: usuario en md5 menos un caracter, como ejemplo hipotetico y buen, pueden usarlo.


saludos

 >:(

lol...

Pasar las sesiones vía GET son mas completa que pasarla con cookies, ya que avece el usuario no acepta cookies y entonces no servirían de nada la cookies...

---

Aveces es mejor diseñar  su propia encriptacion , yo prefiero hacer la mia propia, de todo modos si ven la función que generan esa encriptacion se podrá cracker...

Yo me sumo a Yoya.. Creo que es mejor pasarlo por GET, creo que no deberia limitarme a si el usuario tiene o no activas las cookies, y seamos sinceros, hay muchisima gente que no saben como activarlas y menos que son las cookies,..

Saludos!!
 :o

mmm, casi todos tienen las cookies activadas, y como dijo yoya, podrian sacar la funcion del token, que lo habia dicho antes y asi tener el user...

eso si, si es dificil es imposible.


saludos

1.- Yoya no dijo nada de la funcion token.
2.- No entiendo eso de "si es dificil es imposible", perdon, pero no le encuentro coherencia.
 :-\

1.Sabes lo que es un token?

si usas una sesion en el pasada por GET, utilizarias un TOKEN, y para generar el token, se realiza con una funcion inventada, y si la función es lógica, podria manejarse facilmente la sesion por otro.
lo de imposible, seria que si el algoritmo que creas es realmente complicado seria imposible obtener ese token

y la SID no es de lo mas seguro

saludos.