[Pregunta]: ¿Robo de sesiones?

Iniciado por Leguim, 15 Enero 2020, 05:12 AM

0 Miembros y 1 Visitante están viendo este tema.

Leguim

¿Qué? ¿Me pueden robar las sesiones?

- Estuve buscando y parece ser que eso es muy posible, y se puede hacer hasta en facebook, hotmail, wordpress... No es mentira cuando dicen que la informática es una industria que está rota.

La verdad no lo esperaba porque bueno pensaba que una $_SESSION es algo parte de el código del servidor de una aplicación (backend) y que por tanto nadie podría tener acceso a eso, hay "pequeñas soluciones (no algo que termine con el problema)" pero la verdad nose porque si ni facebook puede evitarlo del todo...

Estoy algo confundido y no se por donde empezar para arreglar esto si es posible, algún consejo?  :laugh:


engel lex

robar la sesion es robarle las cookies a alguien... no, la informatica no está rota, son los riesgos de seguridad... es decir, si le roban las llaves de la casa de una persona, pueden entrar en ella...


hay varias formas de validar...

- cambiar las cookies con frencuencia, nada pierdes cambiando las cookies una vez por minuto... no es recomendable cambiarla cada request (Aunque es posible) porque tienden a fallar mucho cuando hay 2 peticiones muy proximas

- refueza tu cookie con local storage

- guarda un fingerprint de tu usuario en tu session, navegador, ip, header de idioma, header de accept...

y proteger tu sitio contra los ataques de xsrf protegiendo tus cookies con sus respectivos parametros
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.