Comments on: Dreamhost, W3C Validator y PHPSESSID

By: Blaxter

Blaxter — Wed, 09 May 2007 10:34:14 +0000

Tener las cookies desactivadas globalmente (desactivar cookies de terceros, aún…) es una burrada, estoy con Enlavin.

By: lgs

lgs — Wed, 09 May 2007 07:29:25 +0000

También hay que tener en cuenta que en el siglo XXI hay gente que no tiene las Cookies activadas y cuenta abominaciones de ellas.

Tener la sesión en un parámetro de la URL es la única opción para estos paranoicos.

By: enlavin

enlavin — Wed, 09 May 2007 07:12:04 +0000

El mantener la sesión mediante parámetros GET en la url puede ser, aparte de feo, un problema de seguridad. Piensa que cualquier visitante que vaya a otra web desde la tuya a través de un enlace le va a dejar bien guardaico en el http-referer el identificador de sesión que estaba usando. Durante un rato la cuenta de ese usuario es vulnerable.

La gente de Django, por ejemplo, decidieron no usar la url para transmitir las sesiones precisamente por eso.

Me da a mi que eso explica en parte (pasando por alto la paranoia) por qué los típicos webmails no te dejan hacer click en un enlace directamente, si no que te llevan a un script suyo que hace de redirector y probablemente elimina información de sesión de la url para que el http-referer no te delate. Bueno, eso y saber qué enlaces pinchamos y cuales no :)