hay un sitio web que visito y no puedo entender completamente el proceso de inicio de sesión y el hash de sesión que crea y utiliza para realizar un seguimiento de los inicios de sesión y demás.
¿Alguien me ayudaría a entender qué ocurre en el servidor y qué sucede con las ID de sesión y la información de inicio de sesión? (guardado en un archivo cookie)
Ingreso mi nombre de usuario y paso, se guarda una cookie en mi PC llamada PHPSESSID. contiene un hash de 32 caracteres (MD5?) Dice que caduca cuando finaliza la sesión. si cierro la sesión y vuelvo a iniciar sesión (incluso con el mismo nombre de usuario) este hash cambia. No hace falta mencionar que iniciar sesión con otros nombres de usuario también hace que este hash cambie.
- si este hash se hace con mi nombre de usuario y mi contraseña, ¿por qué cambia?
- ¿El tema de las sales está relacionado con mi pregunta?
- si se usan sales para generar este hash, y si las sales son aleatorias, ¿de qué manera el lado del servidor compara los hashes en su DB, con el hash hecho de mi usuario / paso + sal aleatoria ? / li>
Parece que mis preguntas están bastante alejadas en la categoría. lo siento por eso.
este sitio web del que estoy hablando tiene un historial de inicios de sesión mixtos (aunque raro). al igual que cuando inicio sesión con mi nombre de usuario / contraseña, accidentalmente voy a la sesión de otro usuario.
¿Dónde está la debilidad de seguridad de este procedimiento? (que probablemente sea la razón de los inicios de sesión de sesión mixta mencionados)
Gracias por cualquier ayuda.