Feed de Edgaragg

Artículos relacionados

Facebook Share

Share on facebook

Designed by:
SiteGround web hosting Joomla Templates
Buenas prácticas en el manejo de sesiones en aplicaciones web
Buenas prácticas en el manejo de sesiones en aplicaciones web - ID de sesión en el URL PDF Imprimir E-mail
Escrito por edgaragg   
Lunes, 08 de Septiembre de 2008 14:48
Indice del artículo
Buenas prácticas en el manejo de sesiones en aplicaciones web
Manteniendo el estado
ID de sesión en el URL
Uso de campos ocultos en un formulario
Cookies
El ID de Sesión
Robo de sesión
Fallas comunes
Buen manejo de sesión
Conclusiones
Todas las páginas

ID de sesión en el URL

 

El ID de sesion se envía como parte del URL de la página y el servidor la recibe vía GET cuando el usuario hace clic en un vínculo de la página.

Ejemplo:  http://www.edgaragg.com/index.php?ID=883002889306

 Ventajas:

  • Puede ser usado incluso si el navegador del cliente tiene una seguridad alta y tiene deshabilitada las cookies
  • Si el ID de sesion es asociada permanentemente con el browser y el computador, un usuario podria iniciar sesion simplemente guardando la pagina en los favoritos o marcadores.
  • Dependiendo del navegador, la informacion de la sesion se envia en el campo HTTP_REFERER.  Esta informacion puede ser usada para verificar que el usuario a seguido una ruta determinada para llegar hasta dicha pagina a traves de la aplicacion web, previniendo de esta forma ciertos ataques comunes.

 Desventajas:

  • Cualquier persona en el mismo computador podria revisar el historial del navegador o los favoritos y seguir el mismo URL, de esta forma estaria usando la sesion de otro usuario.
  • La informacion del URL puede ser almacenada en un Log por intermediarios (Firewalls o servidores proxy), cualquier persona con acceso a esos logs puede ver el URL y usar esa informacion para llevar a cabo un ataque.
  • Es bastante facil para cualquier persona cambiar el URL y el ID de sesion asociado usando el navegador, asi que las habilidades y los equipos necesarios para llevar a cabo un ataque son minimos.
  • Cuando el usuario navega a otro sitio web, el ID de la sesion puede ser enviada a ese sitio web a traves del campo HTTP_REFERER


Actualizado ( Martes, 23 de Septiembre de 2008 14:38 )