Hola amigos,
Tenemos un problema con la seguridad de una tienda B2B en Prestashop 1.7
Si inicias sesión se crea una cookie.
Cierras sesión y se crea otra nueva
Pero si cogemos el valor de las cookies que teníamos cuando estábamos logeados y los usamos cambiando los actuales, podemos acceder a la sesión de usuario que habíamos cerrado antes.
Necesitaría que las cookies de sesión deben ser invalidadas en el servidor cuando el usuario cierra sesión.
¿Se os ocurre una solución?
Gracias
URL del sitio: Contenido solo visible a usuarios registrados
Hola Javier.
Lo que planteas parece un bug de seguridad de Prestashop 1.7 del que aún no tenemos constancia, por lo que comentas parece que no se están borrando las sesiones en el servidor y por eso al cerrar sesion te deja acceder de nuevo.
Lo primero que haría sería instalar en otro directorio un Prestashop 1.7 limpio y verificar si en una instalación limpia te ocurre lo mismo, si en una instalación limpia no te pasa tendrías que revisar en tu Prestashop donde te falla si al cerrar sesión desde el navegador hay alguna petición en el logout que falle.
Prestashop al crearse un login se guarda una cookie en el navegador del cliente y una sesión en el servidor dentro de la tabla de sesiones, cuando se intentan hacer cosas que requieren login el navegador envía la cookie al server y prestashop valida que la variable de la sesión de la cookie exista en la tabla mysql de sesiones de ese ps para aceptar o denegar esa petición.
Por lo que comentas parece que algo falla y no se borra de la tabla de sesiones la sesión de ese cliente y por eso al volver a poner la cookie que tenía antes del logout le dice que está logeado y le deja hacer cosas que requieren login, etc.
Un saludo