hashes de sesión, ¿necesita ayuda para saber cómo funciona?

0

hay un sitio web que visito y no puedo entender completamente el proceso de inicio de sesión y el hash de sesión que crea y utiliza para realizar un seguimiento de los inicios de sesión y demás.

¿Alguien me ayudaría a entender qué ocurre en el servidor y qué sucede con las ID de sesión y la información de inicio de sesión? (guardado en un archivo cookie)

Ingreso mi nombre de usuario y paso, se guarda una cookie en mi PC llamada PHPSESSID. contiene un hash de 32 caracteres (MD5?) Dice que caduca cuando finaliza la sesión. si cierro la sesión y vuelvo a iniciar sesión (incluso con el mismo nombre de usuario) este hash cambia. No hace falta mencionar que iniciar sesión con otros nombres de usuario también hace que este hash cambie.

  1. si este hash se hace con mi nombre de usuario y mi contraseña, ¿por qué cambia?
  2. ¿El tema de las sales está relacionado con mi pregunta?
  3. si se usan sales para generar este hash, y si las sales son aleatorias, ¿de qué manera el lado del servidor compara los hashes en su DB, con el hash hecho de mi usuario / paso + sal aleatoria ? / li>

Parece que mis preguntas están bastante alejadas en la categoría. lo siento por eso.

este sitio web del que estoy hablando tiene un historial de inicios de sesión mixtos (aunque raro). al igual que cuando inicio sesión con mi nombre de usuario / contraseña, accidentalmente voy a la sesión de otro usuario.

¿Dónde está la debilidad de seguridad de este procedimiento? (que probablemente sea la razón de los inicios de sesión de sesión mixta mencionados)

Gracias por cualquier ayuda.

    
pregunta forbes.nash 02.01.2017 - 12:46
fuente

1 respuesta

1

Una sesión es información almacenada en el servidor correspondiente a algún cliente. Para saber a qué datos acceder, el cliente obtiene una cookie con un identificador de sesión. El valor de este identificador no es significativo, es solo un token para obtener los datos correctos. Por ejemplo, si su identificador de sesión es abcd1234, el servidor buscará en /var/sessions/abcd1234.txt para los datos de la sesión.

Es probable que el identificador de sesión que mencionas se genere de forma aleatoria y no se derive del nombre de usuario, contraseña o sal.

    
respondido por el Sjoerd 02.01.2017 - 14:28
fuente

Lea otras preguntas en las etiquetas