¿Son las variables session realmente seguras ? ¿Se pueden modificar de forma mal-intencionada?

25/06/2008 - 09:08 por JCarrillo | Informe spam
Hola amigos/as, acabo de poner en marcha un sitio web en Internet que
utiliza variables de sessión, y una vez colocado y publicado me he
preguntado si realmente era seguro. ¿Las variables de sessión me
aseguran que solo se pueden modificar desde el servidor ? ¿Se podrian
modificar desde cliente con alguna tecnica de cross-site scripting?
¿ La única forma de modificar la variable sessión, sería que alguien
colocase una página con código en el servidor que hiciera tal
modificación ?

Bueno, perdonar por la paranoia, pero claro últimamente la seguridad
hay que tenerla mucho en cuenta.

Un saludo y gracias.
 

Leer las respuestas

#1 Manuel Vera
25/06/2008 - 14:33 | Informe spam
Realmente no te se responder a tus preguntas sobre seguridad.
Sin embargo, te puedo asegurar que las variables de sessión van a colapsar
tu sitio web.
Ellas utilizan memoria, y por cada usuario conectado a tu sitio, incrementas
el uso de memoria, que permanece durante la vida de la session (¿unos 20
minutos?).
Si el usuario entra y se va, aún quedan con vida durante 20 minutos las
variables de su session hasta que muera la session.
Lo mejor es utilizar en todo caso UNA UNICA VARIABLE DE SESSION que apunte
como ID de una tabla en la base de datos.
Y en esa tabla guardas todo lo que corresponda a la sesion del usuario.
Te lo digo por experiencia. Cuando eliminé las session de mi sitio logré
eliminar los problemas de caida del servidor web.

Salu2
MV

"JCarrillo" escribió en el mensaje
news:
Hola amigos/as, acabo de poner en marcha un sitio web en Internet que
utiliza variables de sessión, y una vez colocado y publicado me he
preguntado si realmente era seguro. ¿Las variables de sessión me
aseguran que solo se pueden modificar desde el servidor ? ¿Se podrian
modificar desde cliente con alguna tecnica de cross-site scripting?
¿ La única forma de modificar la variable sessión, sería que alguien
colocase una página con código en el servidor que hiciera tal
modificación ?

Bueno, perdonar por la paranoia, pero claro últimamente la seguridad
hay que tenerla mucho en cuenta.

Un saludo y gracias.

Preguntas similares