php/archived-doc-es
1
0
Fork 0
mirror of https://github.com/php/doc-es.git synced 2026-03-28 01:12:20 +01:00
Code Issues Packages Projects Releases Wiki Activity
Files
dc2c1850ade8224cbef10fdcc21cb9ccfacb8521
archived-doc-es/reference/session/security.xml
Richard Quadling aa9e475b9d Added complete svn:keyword list 
Ignore entities.*.xml


git-svn-id: https://svn.php.net/repository/phpdoc/es/trunk@310922 c90b9560-bf6c-de11-be94-00142212c4b1
2011-05-10 14:16:18 +00:00

58 lines
2.3 KiB
XML
Raw Blame History

<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: 96c9d88bad9a7d7d44bfb7f26c226df7ee9ddf26 Maintainer: seros Status: ready -->
<chapter xml:id="session.security" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">
<title>Sesiones y seguridad</title>
<para>
Enlaces externos: <link xlink:href="&url.session-fixation;">Fijación de sesiones</link>
</para>
<para>
El módulo de sesión no puede garantizar que la información que se almacena
en una sesión sea vista sólo por el usuario que creó la sesión. Se necesita
tomar medidas adicionales para proteger activamente la integridad de la
sesión, dependiendo del valor asociado con ella.
</para>
<para>
Evalúe la importancia de la información soportada por sus sesiones y utilice
protecciones adicionales -- esto normalmente conlleva un precio, reduciendo
la comodidad para el usuario. Por ejemplo, si quiere proteger a los usuarios de
tácticas de ingeniería social simples, necesita habilitar
<literal>session.use_only_cookies</literal>. En este caso,
las cookies deben estar activas incondicionalmente en el lado del usuario, o
las sesiones no funcionarán.
</para>
<para>
Hay varias maneras de filtrar un id de sesión existente a terceros.
Un id de sesión filtrada habilita al tercero a acceder a todos los recursos que
están asociados con un id específico. Primero, las URL portan id de sesiones. Si
enlaza con un sitio externo, la URL incluído el id de sesión podrían estar
almacenados en el registro de consultas del sitio externo. Segundo, un atacante más
activo podría escuchar su tráfico de red. Si no está encriptado,
el id de sesión fluirá en texto plano por la red. La solución aquí
es implementar SSL en su servidor y hacerlo obligatorio para los usuarios.
</para>
</chapter>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->
Reference in New Issue View Git Blame Copy Permalink