¿Son las variables session realmente seguras ? ¿Se pueden modificar de forma mal-intencionada?

Realmente no te se responder a tus preguntas sobre seguridad.
Sin embargo, te puedo asegurar que las variables de sessión van a colapsar
tu sitio web.
Ellas utilizan memoria, y por cada usuario conectado a tu sitio, incrementas
el uso de memoria, que permanece durante la vida de la session (¿unos 20
minutos?).
Si el usuario entra y se va, aún quedan con vida durante 20 minutos las
variables de su session hasta que muera la session.
Lo mejor es utilizar en todo caso UNA UNICA VARIABLE DE SESSION que apunte
como ID de una tabla en la base de datos.
Y en esa tabla guardas todo lo que corresponda a la sesion del usuario.
Te lo digo por experiencia. Cuando eliminé las session de mi sitio logré
eliminar los problemas de caida del servidor web.

Salu2
MV

"JCarrillo" escribió en el mensaje
news:
Hola amigos/as, acabo de poner en marcha un sitio web en Internet que
utiliza variables de sessión, y una vez colocado y publicado me he
preguntado si realmente era seguro. ¿Las variables de sessión me
aseguran que solo se pueden modificar desde el servidor ? ¿Se podrian
modificar desde cliente con alguna tecnica de cross-site scripting?
¿ La única forma de modificar la variable sessión, sería que alguien
colocase una página con código en el servidor que hiciera tal
modificación ?

Bueno, perdonar por la paranoia, pero claro últimamente la seguridad
hay que tenerla mucho en cuenta.

Un saludo y gracias.

No es paranoia :)

Ten en cuenta que todos los sistemas de desarrollo web (PHP, ASP, ASP.net,
etc.) cuentan con un modelo similar, puede que cambien los nombres, pero en
definitiva tienen el mismo funcionamiento.

La unica forma de que modifiquen una variable de sesion seria que alguien
ejecute, de alguna forma, codigo en el servidor. Si tu sitio posee alguna
falla de seguridad, te puedo asegurar que las variables de sesion serian el
ultimo lugar donde atacar :)

Por otro lado, recuerda que estas solo funcionan para un unico usuario. O
sea, las que creas para un usuario, solo contienen informacion que es
accedida por este, por lo que un atacante no podria moficar mayores datos que
los propios. Llegado al caso, si por ejemplo, el atacante quisiera elevar sus
privilegios en la aplicacion mediante algun valor que hubieras colocado en
una de sus variables, posiblemente este atacaria el sitio usando SQL
Injection, antes que llegar a modificar la logica de tu codigo para lograr
tal accion.

Saludos.

Matías Iacono
Microsoft MVP
Orador Regional INETA
http://mvpfiles.spaces.live.com


"JCarrillo" wrote:

Hola amigos/as, acabo de poner en marcha un sitio web en Internet que
utiliza variables de sessión, y una vez colocado y publicado me he
preguntado si realmente era seguro. ¿Las variables de sessión me
aseguran que solo se pueden modificar desde el servidor ? ¿Se podrian
modificar desde cliente con alguna tecnica de cross-site scripting?
¿ La única forma de modificar la variable sessión, sería que alguien
colocase una página con código en el servidor que hiciera tal
modificación ?

Bueno, perdonar por la paranoia, pero claro últimamente la seguridad
hay que tenerla mucho en cuenta.

Un saludo y gracias.