elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Que opinan de usar session_regenerate_id() por cada petición a nuestra web?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Que opinan de usar session_regenerate_id() por cada petición a nuestra web?  (Leído 2,540 veces)
Ethicalsk

Desconectado Desconectado

Mensajes: 113



Ver Perfil
Que opinan de usar session_regenerate_id() por cada petición a nuestra web?
« en: 1 Noviembre 2017, 05:10 am »

Buenas! Los que sepan de PHP saben que session_regenerate_id() sirve para cambiar el ID de la sesión. Quería saber que opinaban del hecho de regenerar la sesión por cada cosa que hago, es decir por cada petición que mando. Si voy a login que cambie el id, si voy al panel de buscar usuarios, que se cambie el id, si voy a alguna funcion para listar algo, que se cambie, si voy a mi perfil, que se cambie... Qué opinan de hacer esto? Para mi es muy útil para mitigar robos de la cookie de sesión mediante sniffing cuando no usamos https... Pero tal vez hacer las cosas de éste modo tenga puntos en contra que no esté considerando.

Saludos!


« Última modificación: 1 Noviembre 2017, 05:12 am por Ethicalsk » En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Que opinan de usar session_regenerate_id() por cada petición a nuestra web?
« Respuesta #1 en: 1 Noviembre 2017, 05:19 am »

es buena tecnica... pero tiene un problema... le das en el navegador al botón de volver, o hay un error en la solicitud y el usuario queda desconectado... es preferible que el id sea un hash de un fingerprint del navegador y que siempre deba coincidir (la solicitud del navegador contra su fingerprint) y si quieres evitar un mismo cookie repetido, usas el hash del fingerprint + tiempo (somo si fuera un salt) pero no lo haces por petición sino cada 5 o 10 minutos


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Ethicalsk

Desconectado Desconectado

Mensajes: 113



Ver Perfil
Re: Que opinan de usar session_regenerate_id() por cada petición a nuestra web?
« Respuesta #2 en: 1 Noviembre 2017, 05:37 am »

Muchisimas gracias engel lex! La desventajas que mencionas son bastante malas al parecer. Pero si usas un fingerprint del browser el atacante que llegue a sniffar no podría enviar una petición con las mismas cabeceras que la víctima y tratar de recrear el hash en base a dichas cabeceras? Qué parte tomarías de las cabeceras para generar el hash y que funciones de php usarias? Perdón por preguntar tanto, pero se que tenés experiencia en desarrollo y me podes ayudar a entender una buena forma de manejar las sesiones.

Gracias nuevamente y saludos!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines