Bezpieczeństwo w sesjach Opcje

[Rid]

Szukałem w Google i znalazłem tylko takie zabezpieczenie

[PHP] pobierz, plaintext 
 session_regenerate_id(true)
[PHP] pobierz, plaintext 

,ma to zapobiegać przed przechwytywaniem danych w sesji.Czy zna ktoś ,także inne zabezpieczenia w sesji.
Myślę ,także na zainicjowaniu zmiennej sesji i zapisania jej do bazy danych,po czym zniszczenia jej i korzystania tej z bazy danych,ale czy to zwiększy bezpieczeństwo?

[Quadina]

Ja zwykle stosuje taki dość standardowy system:
Ktoś wchodzi pierwszy raz i dostaje jeden cookie z kodem sesji. Po zalogowaniu dodaje mu drugie cookie, które jest hashem np. po jego loginie i jakiejs tam zmiennej losowej, dodatkowo ten hash zapamiętuje przy jego loginie w bazie danych. Mam tam oddzielną kolumnę hash_key. Przy każdym wywołaniu przez niego strony sprawdzam czy jest zalogowany (tutaj _SESSION), oraz zadaje zapytanie do bazy czy istnieje takich hash w bazie (tutaj z COOKIE numer 2). Jeżeli wszystkie dane z bazy, dane z sesji i adres IP się zgadzają to uznaje tę sesję jako bezpieczną.

Przed zalogowaniem korzystam z samej sesji i sprawdzam jedynie IP przypisane do niej. Nie specjalnie nigdy zajmuje się sesjami dla niezalogowanych, bo zwykle nie mają do niczego uprawnień.

[Rid]

Dziękuję za wskazówkę ,ale z IP to raczej się nie pokuszę -co niektórzy mają ,dynamiczne IP -zamiast IP da rady to zrobić z DNS-em?

[Quadina]

Raczej nie dostaniesz DNS'a chociaż nigdy nie interesowałem się tym tematem. DNS też może się zmienić przy zmiennym IP (patrz neostrada - DNS zależny od podsieci w której się aktualnie znajdujesz). Bezpieczeństwo po IP raczej jest dla systemów gdzie wymagasz od użytkownika logowania za każdym razem, a ochrona sesji ma zabezpieczać przed kradnięciem ciastka. Jeżeli robisz jakiś zwykły system, to masz absolutną rację, że możesz go zaniechać ;-)

[tehaha]

Dziękuję za wskazówkę ,ale z IP to raczej się nie pokuszę -co niektórzy mają ,dynamiczne IP -zamiast IP da rady to zrobić z DNS-em?

IP, można użyć jako element zabezpieczenia sesji, przy każdym odświeżeniu sprawdzasz czy IP nie zmieniło się, czyli czy sesja nie została przechwycona, przecież nawet jak ktoś ma zmienne IP to w czasie jednego połączenie jest ono takie samo, tylko pozostaje jeszcze pytanie czy takie dodatkowe zabezpieczenia, rzeczywiście są konieczne? wydaje mi się, że w przypadku zwykłych serwis, które nie zawierają jakichś szczególnie poufnych danych, wystarczy wygasanie sesji po dłuższym czasie nieaktywności

[Fifi209]

wydaje mi się, że w przypadku zwykłych serwis, które nie zawierają jakichś szczególnie poufnych danych, wystarczy wygasanie sesji po dłuższym czasie nieaktywności

Właściwie w domu nie mam zbyt wartościowych przedmiotów, wystarczą same drzwi.

Ten post edytował fifi209 19.12.2010, 21:59:17