Inicio de sesión seguro

Sesión mediante cookies

Cuando se usan cookies para identificar el cliente, la cookie se puede enviar por SSL o no. Evidentemente si se envia fuera de un canal SSL, la cookie puede ser interceptada.
Una vez capturada la cookie el servidor no será capaz de distinguir entre el cliente original y el pirata, por lo tanto el login sin el uso de una cookie solamente https es muy inseguro.
Con el fin de evitar este problema las cookies pueden ser enviadas solamente a través de un canal seguro. Aunque Javascript impide acceder a cookies que utilicen diferente protocolo tampoco es garantía de la identidad del cliente, puesto que existen diversos mecanismos un tanto complejos para extraer la cookie. Teniendo en cuenta la complejidad de las acciones necesarias para extraer la cookie es un método bastante seguro.

Sesión mediante identificación en servidor

Por otra parte tenemos la identificación mediante certificado. Pero debido a la sobrecarga de la línea solamente se usa para un inicio de sessión mediante una cookie SSL, en este caso estámos en los problemas del caso anterior. Por lo tanto la única opción realmente segura es la utilización continua de un canal seguro en combinación con la identificación mediante certificado de cliente a cada petición al servidor. El servidor puede trazar el comportamiento y la identidad del cliente mediante la información contenida en el certificado de cliente.