estoy usando una cookie de sesión (no permanente) para guardar el ID de usuario para saber si el usuario está conectado.¿es la cookie de sesión lo suficientemente segura como para almacenar el ID de usuario?
básicamente, el usuario inicia sesión, verificamos las credenciales, luego configuramos una cookie de sesión userID = 37 (para este usuario en particular, otro usuario tendría 73 o 69, etc ...)
Session.Add("UserID", 37);
mi pregunta es, ¿es posible que el usuario conectado a cambiar de alguna manera esta sesión de cookie de 37 a 73 y así engañar al servidor haciéndole creer que en realidad es el usuario 73? en caso afirmativo, ¿qué estoy haciendo mal, cómo manejar este caso? parece una locura poner en sesión el ID de usuario y el hash de contraseñas y verificarlos CADA VEZ ??
estamos utilizando este valor de ID de usuario también en consultas posteriores para restringirlos.
lo siento si esta no es una pregunta de código EXACTA, pero es muy relevante para mi código.
oh. Ya veo. tienes mucha razon. Me había olvidado por completo de esto. mucho para la respuesta rápida. Tengo que esperar 12 minutos para aceptar, pero lo haré. – b0x0rz
Si el valor está almacenado en el servidor, ¿la sesión realmente se elimina cuando el cliente cierra el navegador o solo es la clave? (No sé si usé los nombres correctos) – BjarkeCK
@BjarkeCK, la clave vive en el cliente.En una galleta Las cookies de sesión no son persistentes por lo que cuando el usuario cierra el navegador, la cookie se perderá. El valor, por otro lado, continuará vivo en el servidor hasta que sea basura recolectada. –