Vuelve a clase a que te expliquen lo que significa "ejemplo". Ni una sola vez me he dejado ninguna sesión abierta en ordenadores públicos.
Aún así, soy más de prevenir que de lamentar.
No os pongáis de mal rollo por algo así, cada uno tiene necesidades diferentes, para los que usamos un par de ordenadores que nadie más toca es mucho mejor el multisesión y para los que usan MV en la Uni/biblioteca pues es mejor el sistema actual.
Seguro que podemos llegar a alguna solución que venga bien a todos.
Yo creo que lo suyo seria un botoncito que te permita guardar la sesion ahi 'para siempre' o no. Asi, si vas a la biblioteca no lo activas, sino si y punto.
Hablo de la perfeccion, no se hasta que punto es viable...
#33 La cuestión es si tenemos que pagar justos por pecadores porque cuatro inútiles no sean capaces de acordarse de cerrar su cuenta tras usarla en un ordenador público.
Por otro lado la solución más fácil es permitir multisesión y añadir la típica casilla de "recordarme como logueado", que vendría sin seleccionar por defecto. Así cuando caduque la sesión por inactividad se cierra y au.
La mejor solución para satisfacer a ambos grupos es añadir un tick diciendo si deseas q se recuerde tu sesión.
Si es así, guardas la cookie, si no, nada.
No tiene más misterio vamos.
Edit: Vale, no lei a los q ya dijeron lo mismo q yo xDDD.
Joer yo siempre en los PC de la universidad lo que hago antes de entrar es poner que se limpie solo todo al cerrar,y al final cierro y apago.
Aun asi lo de la casillita o incluso en el perfil para no joder el diseño si quieres, una opcion para tenerlo siempre activado o desactivado.
El único problema que le ponéis a la multisesion no es de seguridad ... mas bien de lo inútil que sea el usuario.
Si te estas metiendo en los datos del banco para comprobar tus cuentas, y te dejas la sesion abierta ... ¿tambien es por un problema de seguridad del banco?
6 meses después
#26 Opino que el sistema de sesiones se debería dejar tal y como está. Permitir que una misma cuenta pueda estar logueada al mismo tiempo en 2 o más equipos es un problema de seguridad. Es añadir inseguridad por el simple hecho de ganar "comodidad".
Tal y como está ahora va de puta madre. Alguna vez me he conectado en casa de un amigo y al salir he dicho "coño, me he dejado la sesión abierta", momento en el que cojo el iPhone, me conecto a mi cuenta y ya tengo la certeza de que mi cuenta que me dejé abierta en el otro PC se habrá cerrado sin problema
edit: vale me acabo de dar cuenta que es un thread del 2009 xD. #40 te odio por revivir el hilo
pues entonces quitar la multissesión porfavor.
Sacrificar seguridad para obtener una comodidad de vagos... me parece absurdo. Pueden hacer un robo de cookies con un simple plug-in de Firefox. Al menos poner un chekbox si decides guardar una cookie y poner el tiempo de expire de 3 horas COMO MUCHO.
por favor...
Si alguien se mete en un ordenador en el que has dejado tus datos abiertos al publico el unico que tiene la culpa eres tu. Lo menos que te debería importar es la cuenta de MV, si te vas a meter a Facebook, Tuenti, Gmail o tu banco, en los que todos se permite multisesión. Un poco de sentido común, que si fuera por vosotros seguiríamos en geocities
#46 si se implementan cookies para multisessión y tal hay que tener en cuenta 2 cosas:
Si inicias sesión en un PC que está comprometido (en un ciber, en casa de tu amigo el gayer, etc...) te pueden robar la cookie y hacer un robo de sesión, por mucho que luego te preocupes tú de cerrar la sesión
Ya que han implantado éste sistema... lo mejor sería, en la ventana de loguin, poner un checkbox que ponga "mantener la sesión abierta", así, si quieres usar dicha opción, solo tendrás que marcarlo, es lo mejor para todos, y las mejores compañías lo hacen: hotmail, facebook, incluso geocities.
Yo personalmente prefiero el antiguo sistema, me pasa lo mismo que a -One- y temo que se me olvide cerrar la sesión en el pc de un amigo o en la universidad.
Ahora a intentar acordarme de cerrar siempre sesión.
Que alguien te robe la cookie tiene un riesgo muy muy limitado, la cookie consiste en un token aleatorio totalmente independiente de tu contraseña que se regenera cada vez que inicias sesión (de ahí que cuando haces login en otro dispositivo todas las cookies "antiguas" quedan inutilizadas)
Por otro lado también añadimos hace un tiempo como medida de seguridad extra que el token quede asociado a la IP desde donde se crea, con lo que desde otra IP no debería funcionar la cookie.
Lo del checkbox para no guardar cookie cuando estás en pcs públicos es algo que podemos añadir.
#50 Actualmente los robos de sesión los realizo así:
Robo de cookie y con un plug-in para firefox te añades esa cookie y te asocias falsamente la IP del equipo que tenía cuando se generó la cookie = sesión validada/robada (siempre y cuando no se haya generado ningún otro token como bien dices).
Creo que lo del chekbox para indicar si no quieres cerrar tu sesión es lo más correcto.
Para robar la cookie solo habría que generar una dirección maliciosa y redireccionar un javascript:alert(document.cookie); a un server por ejemplo. Esto sumado a que el server no valida si lo que hay en el interior de las etiquetas [ img] es una foto con cabecera correcta o no... lo veo un agujero de seguridad considerable.
Actualmente, tal y como está configurado el servidor de MV es complicado hacer un robo de sesión, imposible no.
Yo estoy hablando de suplantación mediante robo de cookie, que no es estrictamente lo mismo que robo de sesión (no se si nos estamos refieriendo a lo mismo)
Suponiendo que consigues tener acceso a la cookie y conoces la IP del ordenador donde estaba, dices que "te asocias falsamente esa IP", podrías elaborar un poco cómo lo haces exactamente? porque de lo que escribes no tengo muy claro si te refieres a un plugin de firefox (las cabeceras HTTP aquí no servirían de nada).
Si estás en disposición de spoofear esa ip, ya sea porque tienes acceso a esa máquina y la usas de proxy o porque estás dentro de la misma subred y ésta es insegura, el que te roben la cuenta de MV creo que es el menor de tus problemas.
claramente hablo de estar en una misma subred: Conectado en un cibercafé. En el campus de tu universidad. O en una aula de informatica del colegio.
ARP Poison (usando caín por ejemplo) envenenas tablas ARP de tu "víctima", redirecionas el tráfico destinado a su gateway hacia tu PC (dificultad: fácil, tiempo: 2 minutos)
Robas la cookie usando uno de los muchos métodos que existen, por ejemplo una muestra de cookie de MV.
__utma=29573601.1304409951.1274104421.1274115691.1274119021.2; __utmz=29573601.1274104421.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmfc=YToxOntiOjYxOTQ3O2k6Mrt9; PHPSESSID=mg9rko4cj86nakc7vk3018ekm4; __utmb=29573601.74.10.1274119021; __utmc=29573601
(está editada)
- Con un plug-in de firefox (cookie edit, por ejemplo) editas tu cookie con la cookie que has robado. Cambias el user-agent para que el PHPSESSID continue validado, utilizas la misma IP de la "victima" con spoof.
Si no hay nada "adicional" en la seguridad del server, con eso bastaría para robar una sesión de cualquier user de MV. No lo he probado con éste servidor, pero el método me sirve para robar una sesión de hotmail, por poner un ejemplo. De todas formas, como ya se ha comentado:
Es un método complicadillo y necesitas de varios factores a tu favor para hacerlo funcionar (entre ellos, el más complicado es lo de estar en la misma subred para el ARP Poison). Pero no es imposible.
edit: a todo ésto, voto para que quitéis la multisessión. El poder iniciar sesión en tu movil y tener la certeza de que todas las demas sesiones, cookies y tokens han quedado caducados... es un full win en toda regla.
A eso me refería en #50 que el riesgo es muy reducido, además primero tienes que tener acceso a esa máquina (descarto XSS) para obtener la cookie así que lo normal sería usarla directamente a través de esa máquina y dejarse complicaciones.
Aquí el riesgo real es que vayas a un pc que no es el tuyo y no cierres la sesión y alguien lo abra antes de que tu hayas iniciado sesión en otro sitio. Como ya he dicho antes, pondremos un checkbox en el login para estos casos.
#54 fuck yeah!
Al menos, que el chekbox esté deshabilitado por default. Nada más que añadir por mi parte.
#53 -> Haxor spotted 
Por lo que he entendido de #50 cada vez que te logueas en MV se genera una entrada así:
DIRECCIÓN_IP | RANDOM_KEY
Luego se le manda al navegador la cookie auth con el userid y el random key.
Cuando vuelvas a abrir el navegador y meterte en mediavida, éste enviará a MV la cookie auth, que comprobará el randomkey y tu dirección IP. Si coinciden, ¡bingo! te autentica, y te devuelve la cookie auth actualizada con un nuevo código.
Por tanto, que yo sepa, lo máximo que puedes hacer con una cookie robaba y spoofeando la IP es llenar Off-Topic de mierda hasta que el usuario legítimo se vuelva a loguear desde otro sitio (o se meta Billa, lo primero que ocurra xD) (Edito: acabo de loguearme desde otro navegador y se mantienen abiertas las dos sesiones. Ahora bien, si cierro el primer navegador y lo vuelvo a abrir tengo que volver a loguearme).
Salu2 
PD: sólo un consejo y sin acritud porque no te conozco de nada y cada cual es libre de hacer lo que quiera (ateniéndose a las consecuencias), pero yo tendría cuidado con lo que escribo por "ahí", ya que nunca se sabe quién lee...
#56 nah, lo que he escrito es una CHORRADA que cualquiera puede aprender con solo poner en google: "robar sesión cookie". No tiene misterio.
A parte, beavis ya me tiene fichado por otros temas de hace un tiempo y yo no oculto nunca nada a nadie, así que no problem que no soy script kiddie.
ufff... no me gusta nada lo de la multisession, al menos hasta que se cree el checkbox del que hablais
mas que nada porque soy de los que no cierra la sesion porque se que cuando llegue a casa y logear de nuevo se va a cerrar alla donde la deje abierta, cosa que prefiero, me hace sentir mas seguridad
amen de que, desde mi desconocimiento, que riesgo habria para la web por medio de algun ataque a raiz de esto? porque intuyo que al haber multisession y poder estar el mismo usuario en no se, N clientes diferentes, algo de riesgo podra haber no? o son fantasias mias? xD
Creo que confundes muti-sesión y login automático.
1) Multisesión: poder estar logueado en MV al mismo tiempo en X PCs.
2) Login automático: aunque cierres el navegador, si lo abres en menos de una semana te loguearás automáticamente.
La opción 2 sólo funciona para el último PC que se loguea (y sin cambiar de IP por reseteo del router, etc...). Si por ejemplo en la uni o en el curro te logueas en MV y cierras el navegador sin haber cerrado la sesión, en cuanto te loguees en tu casa ya no se logueará automáticamente el otro PC. El "peligro" es dejarse el Firefox abierto con tu cuenta logueada, pero antes semejante cagada poco se puede hacer 
...
Espero que se entienda.
Salu2
