Identificazione utente

[Polley]

Ciao, stò facendo un portale con degli utenti registrati

Volevo identificare l'utente tramite una form e poi tenere traccia dell'ID dell'utente attravero le querystring utilizzando l'ID di sessione generata dal server al momento dell'apertura del sito in modo da non usare le variabili di sessione od eventualmente senza utilizzare i cookies

praticamente mi registro gli utenti online in un xml dove viene segnato l'id di sessione generato e l'utente che ne corrisponde

volevo sapere, che probabilità ci sono che un utente cambiando i valori dell'id di sessione riesca a trovare un'altro utente online ed utilizzare la sua sessione ?

può un utente da casa creare script automatici per trovare un id di sessione valido ?

[99eros9]

Che riesca a trovarlo poche, ma questo tipo di sistema non è comunque consigliato anche per altri tipi di attacchi. Comunque il generatore di ID può anche essere custom.

[Polley]

quindi è meglio utilizzare i cookies o le sessioni ed eventualmente chiedere all'utente di attivarle ?

[stefanomnn]

guarda,
io penso che di fatto senza i cookie tantissimi siti non funzionerebbero nemmeno...

cmq puoi anche specificare di creare sessioni cookieless, se ne preoccupa il framework e per te è trasparente

[Polley]

si ma utilizza sempre dei cookies, mah penso che tornerò ai vecchi passi, volevo fare un sistema indipendente dal browser ma penso non ne valga la pena