Enlaces externos: » Fijación de sesiones
El módulo de sesión no puede garantizar que la información que se almacena en una sesión sea vista sólo por el usuario que creó la sesión. Se necesita tomar medidas adicionales para proteger activamente la integridad de la sesión, dependiendo del valor asociado con ella.
Evalúe la importancia de la información soportada por sus sesiones y utilice protecciones adicionales -- esto normalmente conlleva un precio, reduciendo la comodidad para el usuario. Por ejemplo, si quiere proteger a los usuarios de tácticas de ingeniería social simples, necesita habilitar session.use_only_cookies. En este caso, las cookies deben estar activas incondicionalmente en el lado del usuario, o las sesiones no funcionarán.
Hay varias maneras de filtrar un id de sesión existente a terceros. Un id de sesión filtrada habilita al tercero a acceder a todos los recursos que están asociados con un id específico. Primero, las URL portan id de sesiones. Si enlaza con un sitio externo, la URL incluído el id de sesión podrían estar almacenados en el registro de consultas del sitio externo. Segundo, un atacante más activo podría escuchar su tráfico de red. Si no está encriptado, el id de sesión fluirá en texto plano por la red. La solución aquí es implementar SSL en su servidor y hacerlo obligatorio para los usuarios.