Invalidar en el servidor las cookies cuando cierras la sesión  

 
Javier
 Javier
Usuario experto

Hola amigos,
Tenemos un problema con la seguridad de una tienda B2B en Prestashop 1.7

Si inicias sesión se crea una cookie.
Cierras sesión y se crea otra nueva
Pero si cogemos el valor de las cookies que teníamos cuando estábamos logeados y los usamos cambiando los actuales, podemos acceder a la sesión de usuario que habíamos cerrado antes.

Necesitaría que las cookies de sesión deben ser invalidadas en el servidor cuando el usuario cierra sesión.

¿Se os ocurre una solución?

Gracias

URL del sitio: Contenido solo visible a usuarios registrados

Saludos cordiales
JAM

Citar
Respondido : 19/05/2018 2:09 pm
Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Javier.

Lo que planteas parece un bug de seguridad de Prestashop 1.7 del que aún no tenemos constancia, por lo que comentas parece que no se están borrando las sesiones en el servidor y por eso al cerrar sesion te deja acceder de nuevo.

Lo primero que haría sería instalar en otro directorio un Prestashop 1.7 limpio y verificar si en una instalación limpia te ocurre lo mismo, si en una instalación limpia no te pasa tendrías que revisar en tu Prestashop donde te falla si al cerrar sesión desde el navegador hay alguna petición en el logout que falle.

Prestashop al crearse un login se guarda una cookie en el navegador del cliente y una sesión en el servidor dentro de la tabla de sesiones, cuando se intentan hacer cosas que requieren login el navegador envía la cookie al server y prestashop valida que la variable de la sesión de la cookie exista en la tabla mysql de sesiones de ese ps para aceptar o denegar esa petición.

Por lo que comentas parece que algo falla y no se borra de la tabla de sesiones la sesión de ese cliente y por eso al volver a poner la cookie que tenía antes del logout le dice que está logeado y le deja hacer cosas que requieren login, etc.

Un saludo

Si nuestra ayuda te sirve déjanos tu testimonio y mejora así el posicionamiento de tu web:
Enviar Testimonio
¿Has probado WpCenter?, es nuestro nuevo manager de WordPress desde el propio cPanel sin necesidad de acceder a tu administración, te permitirá configurar actualizaciones automáticas y mucho más.
Pruébalo accediendo a tu cPanel > Aplicaciones Webempresa > WpCenter
¡Gracias!.

ResponderCitar
Respondido : 19/05/2018 3:24 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Por favor Iniciar Sesión o Registro