2008-03-10

Manejo de sesiones con protocolo ssl

Cuando navegamos por páginas como Amazon o ebay siendo usuarios de las mismas, vemos como pasamos del protocolo http al https siempre que tenemos que enviar datos. Para luego volver a http para visualizar sus productos. De esta forma se intenta evitar que alguien en tu red local o simplemente en la red tenga acceso a los datos que estás enviando.

Generalmente las posibilidades son pocas. Pero con la llegada del wifi de forma masiva, resulta sencillo observar los datos que circulan por muchas redes.

Para llevar a cabo todo esto necesitamos una programación que controle las sesiones de los usuarios. De esa forma podremos saber, que productos quieren comprar, cuanta cantidad,....

Cuando se trabaja con un protocolo http o con https las cosas resultan bastante sencillas. Pero cuando intentas trabajar con los dos se complcian un poquito más.

Cuando un usuario se le asigna una sesión puede pasar de protocolo sin cambiar su identificador de sesión ( el session_id()). El problema es que los demás datos se borran. No deja de ser un mecanismo de seguridad y hay que recordar que hay diversas vulnerabilidades sobre la materia... hijacking session.

Amazon, Ebay y el resto de webs de relativa importancia tienen programados un sistema de manejo de sesiones y albergan la información de la sesión en su respectiva base de datos y mediante cookies.

No hay comentarios: