Parliamo di sessioni

[danny21]

Utilizzare le sessioni è sicuramente molto utile per consentire la navigazione all'interno di un'area riservata, ma bisogna anche utilizzarle con una certa accortezza per evitare buchi nella sicurezza del proprio sito.
A questo proposito volevo chiedere qualche opinioni su quale sistema di propagazione dell'id di sessione sia preferibile: infatti i due metodi principalmente utilizzati (ce ne sono poi anche altri) avvengono attraverso i cookie oppure tramite l'inserimento di un parametro nell'url, ma quale dei due è preferibile?

Da quel che ne capisco io il cookie sembrerebbe essere migliore dal punto di vista della sicurezza in quanto non va a modificare l'url e quindi chi naviga non si accorgerebbe di nulla ma alcuni browser non accettano cookie... da questo punto di vista, quindi, il sistema con il parametro nell'url appare più compatibile ma chiunque potrebbe vedere nella propria barra dell'indirizzo il parametro del tipo pagina.php?SID...

Inoltre mi pongo due quesiti (che in realtà è sempre lo stesso) se io mi loggo da una pagina che usa le session con i cookie, chiudo il browser e lo riapro inserendo dell'indirizzo non la pagian di login ma una delle pagine all'interno della zona riservata, continuerò a navigare regolaermente, utilizzando la precedente sessione anche se ho chiuso il brwoser? E se invece uso il parametro dell'url e, dopo aver chiuso il broweser, lo riapro e digito l'indirizzo specifico di una pagina comprendente di corretto parametro, la sessione riprenderà a funzionare come se niente fosse?

[}gu|do[z]{®©]

Originariamente inviato da danny21
Utilizzare le sessioni è sicuramente molto utile per consentire la navigazione all'interno di un'area riservata, ma bisogna anche utilizzarle con una certa accortezza per evitare buchi nella sicurezza del proprio sito.
A questo proposito volevo chiedere qualche opinioni su quale sistema di propagazione dell'id di sessione sia preferibile: infatti i due metodi principalmente utilizzati (ce ne sono poi anche altri) avvengono attraverso i cookie oppure tramite l'inserimento di un parametro nell'url, ma quale dei due è preferibile?

Da quel che ne capisco io il cookie sembrerebbe essere migliore dal punto di vista della sicurezza in quanto non va a modificare l'url e quindi chi naviga non si accorgerebbe di nulla ma alcuni browser non accettano cookie... da questo punto di vista, quindi, il sistema con il parametro nell'url appare più compatibile ma chiunque potrebbe vedere nella propria barra dell'indirizzo il parametro del tipo pagina.php?SID...
[/QUOTE]
Innanzitutto php usa entrambi i metodi... nella configurazione più comune (e standard) php cerca di usare i cookies, se non può usare i cookies usa il SID.
In secondo luogo parlare di pericolo perchè un utente vede il proprio sid.. non mi pare corretto....la tua carta di credito è in pericolo quando tu apori il ortafiogli e ne vedi il codice?
Il pericolo con il sid in querystring potrebbe essere quello di incollare un link a qualcuno con tanto di sid.. ma credo (non ho mai provato) che ci sia anche un controllo sull'ip... che non basti solo il sid copincollato insomma...

Inoltre mi pongo due quesiti (che in realtà è sempre lo stesso) se io mi loggo da una pagina che usa le session con i cookie, chiudo il browser e lo riapro inserendo dell'indirizzo non la pagian di login ma una delle pagine all'interno della zona riservata, continuerò a navigare regolaermente, utilizzando la precedente sessione anche se ho chiuso il brwoser?

no, il cookie d sessione scade alla chiusura del browser.
A meno di impostazioni diverse con la funzione cookie_set_param()

E se invece uso il parametro dell'url e, dopo aver chiuso il broweser, lo riapro e digito l'indirizzo specifico di una pagina comprendente di corretto parametro, la sessione riprenderà a funzionare come se niente fosse?

come dicevo prima, credo non bast il semplice link con il sid da un altro computer.. nel caso dello stesso computer potrebbe anche essere