Feed de Edgaragg

Artículos relacionados

Facebook Share

Share on facebook

Designed by:
SiteGround web hosting Joomla Templates
Buenas prácticas en el manejo de sesiones en aplicaciones web
Buenas prácticas en el manejo de sesiones en aplicaciones web - Uso de campos ocultos en un formulario PDF Imprimir E-mail
Escrito por edgaragg   
Lunes, 08 de Septiembre de 2008 14:48
Indice del artículo
Buenas prácticas en el manejo de sesiones en aplicaciones web
Manteniendo el estado
ID de sesión en el URL
Uso de campos ocultos en un formulario
Cookies
El ID de Sesión
Robo de sesión
Fallas comunes
Buen manejo de sesión
Conclusiones
Todas las páginas

 

Uso de campos ocultos en un formulario

 

El ID de sesión es almacenado en un campo oculto (hidden) y enviado al servidor cuando se envía el formulario vía POST.  

Ejemplo:

<FORM METHOD=POST ACTION=”http://www.edgaragg.com”>
<INPUT TYPE=”hidden” NAME=”sessionid” VALUE=”
883002889306”> 

Ventajas:

  • No es tan obvio como enviar el ID en el URL, por lo tanto requiere un mayor nivel de conocimiento para poder detectar el ID para poder usarlo en un ataque.
  • Permite a los usuarios almacenar el URL de la página sin proveer información sobre el ID de sesión.
  • Puede ser usado incluso si el navegador del cliente tiene una seguridad alta y tiene deshabilitada las cookies.

Desventajas:

  • A pesar de que requiere un mayor nivel de conocimiento, se puede llevar a cabo ataques usando herramientas disponibles en la red.
  • El contenido de la página tiende a ser más compleja, ya que se debe almacenar mayor cantidad de información en la página (sin tomar en cuenta que hoy en día se hace uso de scripts y aplicaciones flash embebidas en la página), lo cual hace que la página sea mucho más grande en tamaño, y se tenga que enviar mayor cantidad de información al navegador del cliente, dando la sensación de lentitud en la página.
  • Debido a malas prácticas de programación, un fallo en el chequeo del método de envío (GET o POST) en el lado del servidor, hace que una información que debe ser enviada vía POST se agregue en el URL de tal forma que esta sea enviada via GET.


Actualizado ( Martes, 23 de Septiembre de 2008 14:38 )