 Autor
|
Tema: Que opinan de usar session_regenerate_id() por cada petición a nuestra web? (Leído 2,315 veces)
|
Ethicalsk
 Desconectado
Mensajes: 113
|
Buenas! Los que sepan de PHP saben que session_regenerate_id() sirve para cambiar el ID de la sesión. Quería saber que opinaban del hecho de regenerar la sesión por cada cosa que hago, es decir por cada petición que mando. Si voy a login que cambie el id, si voy al panel de buscar usuarios, que se cambie el id, si voy a alguna funcion para listar algo, que se cambie, si voy a mi perfil, que se cambie... Qué opinan de hacer esto? Para mi es muy útil para mitigar robos de la cookie de sesión mediante sniffing cuando no usamos https... Pero tal vez hacer las cosas de éste modo tenga puntos en contra que no esté considerando.
Saludos!
|
|
|
|
« Última modificación: 1 Noviembre 2017, 05:12 am por Ethicalsk »
|
En línea
|
|
|
|
|
engel lex
|
es buena tecnica... pero tiene un problema... le das en el navegador al botón de volver, o hay un error en la solicitud y el usuario queda desconectado... es preferible que el id sea un hash de un fingerprint del navegador y que siempre deba coincidir (la solicitud del navegador contra su fingerprint) y si quieres evitar un mismo cookie repetido, usas el hash del fingerprint + tiempo (somo si fuera un salt) pero no lo haces por petición sino cada 5 o 10 minutos
|
|
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
Ethicalsk
Desconectado
Mensajes: 113
|
Muchisimas gracias engel lex! La desventajas que mencionas son bastante malas al parecer. Pero si usas un fingerprint del browser el atacante que llegue a sniffar no podría enviar una petición con las mismas cabeceras que la víctima y tratar de recrear el hash en base a dichas cabeceras? Qué parte tomarías de las cabeceras para generar el hash y que funciones de php usarias? Perdón por preguntar tanto, pero se que tenés experiencia en desarrollo y me podes ayudar a entender una buena forma de manejar las sesiones.
Gracias nuevamente y saludos!
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Usar dll de .Net Reflector en nuestra aplicación.
.NET (C#, VB.NET, ASP)
|
Lopardo
|
3
|
5,207
|
3 Mayo 2011, 22:07 pm
por [D4N93R]
|
|
|
|
Google+ permite usar nuestro nombre completo en nuestra cuenta de YouTube
Noticias
|
wolfbcn
|
0
|
2,232
|
2 Julio 2012, 02:00 am
por wolfbcn
|
|
|
|
Cada vez hay más jóvenes con los pulgares atrofiados por usar el móvil
Noticias
|
wolfbcn
|
0
|
1,514
|
16 Febrero 2014, 18:03 pm
por wolfbcn
|
|
|
|
Usar dos móviles: una pesadilla (o salvación) cada vez más frecuente
Noticias
|
wolfbcn
|
0
|
1,112
|
5 Abril 2014, 02:09 am
por wolfbcn
|
|
|
|
Formatos de imágenes: ¿cuál usar en cada caso?
Noticias
|
wolfbcn
|
0
|
1,415
|
1 Mayo 2014, 19:18 pm
por wolfbcn
|
 |
