Sesja, Bezpieczeństwo danych w sesji. Opcje

[carbolymer]

Ciekawi mnie kwestia bezpieczeństwa danych w sesji. Czy jak zapiszę w sesji dane rodzaju:

[PHP] pobierz, plaintext 
<?php
$_SESSION['login'] = 'zenek';
$_SESSION['haslo'] = 'a6e5v3z8erg4';
?>
[PHP] pobierz, plaintext 

Mogą one zostać odczytane?
Jeżeli tak, czy dostanie się do danych przez osobę zewnętrzną jest łatwe?

[babejsza]

Ogólnie jest tak, że niemożliwe to jest odwrócić hełm na drugą stronę czy otworzyć parasol w ...

Jeżeli dane mają być bezpieczne to najlepiej je zakodować.

Dostanie się do danych zapisanych w sesji zależy od tego jak dobrze zabezpieczony jest serwer.

[pbnan]

Nie jestem pewien tego, co piszę, więc jakbym zrobił jakąś pomyłkę, to mi wybaczcie.
---
Sesja i jej zawartość jest przetrzymywana po stronie serwera. Żeby się do tych danych dostać, potrzebujesz session id. Jest on przetrzymywany:
a ) w cookie,
b ) poprzez adres URL przekazuje się go.
Gdy poprawny SSID zostanie przekazany do witryny, ta udostępni dane. Zatem najważniejsze jest nie dopuścić do przechwycenia cookie (bo to się najczęściej stosuje przy sesjach). A przechwycić można poprzez np. XSS, dlatego trzeba uważać nieźle na bezpieczeństwo swoich aplikacji.

Ten post edytował pbnan 7.05.2007, 16:19:19

[carbolymer]

a takie zastosowanie jest bezpieczne (przetwarzane podczas każdego przeładowania strony): (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[PHP] pobierz, plaintext 
<?php
function realIP()
{
if ($_SERVER['HTTP_X_FORWARDED_FOR'])
	return $_SERVER['HTTP_X_FORWARDED_FOR'];
else  
	return $_SERVER['REMOTE_ADDR'];
}
 
if($_SESSION['sip'] != realIP())
{
session_destroy();
}
?>
[PHP] pobierz, plaintext 

w $_SESSION['sip'] przechowuję IP użytkownika (zapisywane podczas logowania).

Ten post edytował carbolymer 7.05.2007, 19:16:52

[domis86]

a takie zastosowanie jest bezpieczne (przetwarzane podczas każdego przeładowania strony): (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[PHP] pobierz, plaintext 
<?php
function realIP()
{
if ($_SERVER['HTTP_X_FORWARDED_FOR'])
	$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
else  
	$ip = $_SERVER['REMOTE_ADDR'];
}
 
if($_SESSION['sip'] != realIP())
{
session_destroy();
}
?>
[PHP] pobierz, plaintext 

w $_SESSION['sip'] przechowuję IP użytkownika (zapisywane podczas logowania).

no niby tak, ale co jezeli ktos ma zmienne ip, i zmienia mu sie ono czesto?

Pozatym przejęcie ciasteczka nie jest takie proste. Opłaca się zabezpieczać przed jeżeli robisz jakąś poważną aplikacje.

Ten post edytował domis86 7.05.2007, 16:42:16

[pbnan]

Nie jest bezpieczne. Bo nie zadziała.
1. Nie zwracasz nic w realIP();
2. nie masz session_start();

[.radex]

Hmmmm... A powiecie mi może dlaczego ja przy moich aplications nigdy nie miałem żadnego ciacha?

[pbnan]

Bo może miałeś przekazywanie przez URL, o czym pisałem wyżej? Może nie korzystałeś z sesji? Może czegoś ja nie wiem (bardzo możliwe)? Jak widzisz, dużo możliwości, radex_p. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[.radex]

hmm.... zawsze standardowa procedurka: session_start();
i jak ustawiam nowe(lub modyfikuje) sesje to:
$_SESSION['nazwa'] = 'wartosc';

i w zasadzie chyba to wszystko co mam do powiedzenia (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[carbolymer]

@domis86
ip się zmienia przy kazdym połączeniu do internetu, a mi się rozchodzi o sesję - dane przetrzymywane tylko podczas jednej wizyty na strone

@pbnan
to ejst fragment kodu, odpowiedzialny za bezpieczeństwo zmodyfikowany na potrzebę zamieszczenia na forum, mogła mi się zdażyć pomyłka - session start() i session_register() jest jakieś 500 linijek wyżej.

Mi się rozchodzi o bezpieczeństwo stosowania takich rozwiązań: przechowywania nazw użytkownika i hasła w sesji.

[domis86]

po co haslo przechowywac ? wsytarczy samo id, czy nazwa


Hmm, jesli myslisz ze sesja nie jest bezpieczna bo mozna ukrasc cistko to tak samo ip nie jest 100% bezpieczne bo ktos moze zespoofowac. Tak mozna zabezpieczać w nieskonczonosc.

[sobstel]

na serwerach współdzielonych każdy posiadajacy konto na tym serwerze może odczytać sesje ponieważ zazwyczaj przechowywane są w katalogu /tmp, z ktorego kazdy moze czytac. polecam zmienienie tego katalogu przez dyrektywe session.save_path lub uzyc wlasnego handlera sesji (session_set_save_handler).

@radex_p, sesje moga byc przekazywane przez ciacho lub przez url. jesli u ciebie nie widzisz doklejonego w adresach id sesji tzn. ze jest przekazywane przez cookie - jest to robione automatycznie i pewnie nawet nie zdajesz sobie z tego sprawy.

@carbolymer, hasła w żadnym razie nie powinieneś przechowywać w sesji bo zupełnie nie ma to sensu i przed niczym nie zabezpiecza, wręcz przeciwnie.

Pozatym przejęcie ciasteczka nie jest takie proste. Opłaca się zabezpieczać przed jeżeli robisz jakąś poważną aplikacje.

wtedy tylko ssl, tylko to moze uchronic przed sniffingiem. a z podstawowych zasad to nie uzywac urlow do przekazywania identyfikatora.

Ten post edytował sopel 7.05.2007, 19:58:20

[.radex]

@radex_p, sesje moga byc przekazywane przez ciacho lub przez url. jesli u ciebie nie widzisz doklejonego w adresach id sesji tzn. ze jest przekazywane przez cookie - jest to robione automatycznie i pewnie nawet nie zdajesz sobie z tego sprawy.

Przez ciacho w takim razie, ale w $users_root$/cookies nigdy nie widziałem pliku od localhost:P

[mild]

Zainstaluj sobie wtyke do przegladarki (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Mam jedno pytanie na temat id'a sesji.
Jak zmieniec czy jest przekazywany przez get czy cookie? W php.ini?

[bełdzio]

session.use_only_cookies