[SESSION_ID] pytanie... Opcje

[matix]

Witam,

wiele osób mówi, że można shakować serwis za pomocą Session ID. Dziwi mnie to, gdyż nie widzę jakoś możliwości wykorzystania tego.

Mógłby mnie ktoś bardziej oświecić, gdyż robię serwis rozrywkowy, a nie wiem czy się przed tym tak baardzo zabezpieczać. Pozdrawiam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[sagittariuspl]

ciekawe... tak, znająć sid któregoś z użytkowników mógłbyć chyba zrobić z nim ciastko i korzystać z jego konta... tylko jak iby mam poznac czyjeś sid? zwłaszcza, że ono się zmienia? wydaję mi się problem nie warty kłopotania się nim

[fiszol]

SID napewno można ukraść, niewiem dokładnie jak bo nie interesuje mnie "ciemna strona mocy" ale swego czasu głośno było o tym w środowisku graczy ogame, jacyś cwaniacy kradli SID przez zewnętrzny plik ze stylem css który każdy gracz może sobie w profilu ustawić celem zmiany domyślnego wyglądu gry.

[pbnan]

Dane przechowywane sesji są przez serwer i udostępniane po podaniu odpowiedniego SSID. Znając SSID, możemy dostać się do tych danych, choćby nie były one naszymi. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Można na przykład zmienić hasła i inne duperele, choć nie powinno to doprowadzić do "shakowania serwisu", chyba że się zdobędzie dostęp do roota. ]:->

[Darti]

Po uwierzytelnieniu (jakieś logowanie) serwisy często przypisują danemu SID status "zalogowany" i taka przeglądarka, która poda odpowiedni SID ma dostęp do części chronionej. W momencie, gdy user nie naciśnie "wyloguj" tylko po prostu zamknie przeglądarkę, to sesja jeszcze przez jakiś czas jest aktywna po stronie serwera. Znając aktywny, uwierzytelniony SID można się w tym czasie pod kogoś podszyć.

[Turgon]

Ale zawsze istnieje to ryzyko. Najlepszy zabezpieczeniem jest kontrola IP. Więcej nie da się niestety zrobić.

[Darti]

Ale zawsze istnieje to ryzyko. Najlepszy zabezpieczeniem jest kontrola IP. Więcej nie da się niestety zrobić.

Właśnie nie IP. Ktoś siedzi w kafejce, zapomniał się wylogować a włamywacz go obserwował. Tamten wyszedł a włąmywacz usiadł do jego komp[pa i się włamał. Sam tak kiedyś bratu w domu zrobiłem (IMG:http://forum.php.pl/style_emoticons/default/aaevil.gif)

[franki01]

Właśnie nie IP. Ktoś siedzi w kafejce, zapomniał się wylogować a włamywacz go obserwował. Tamten wyszedł a włąmywacz usiadł do jego komp[pa i się włamał. Sam tak kiedyś bratu w domu zrobiłem (IMG:http://forum.php.pl/style_emoticons/default/aaevil.gif)

Takie cos to juz blad uzytkownika. Rownie dobrze mogl powiedziec "Usiadz na moje konto". W ogole wiekszosc wlaman spowodowanych jest bledami uzytkownikow albo ich czynnosciami ktore moga narazic hasla, id sesji itp.

[Reigon]

Odpisujecie autorowi co zrobic dla bezpieczenstwa, a on sie pyta czy sie da w ogole to zrobic

No wiec da sie. Jednym ze sposob jest metoda silowa - napisanie skryptu, jezeli odgadnie sid, zmienia haslo, wysyla do wlamywacza sms-a, albo maila...konto przjete. Jednak trzeba sobie wyobrazic ile jest mozliwosci...a ich jest dosyc sporo, bo 16 do potegi 32, a jak zakodujemy np. md5 to bedzie ich 10 miliardow. Takze ktos musialby miec niezla determinacje, zeby cos takiego napisac i odpalic. Inny sposob to atakt na komputer klienta serwisu i wykradniecie z niego cookies, ktore by przechowywalo sid do atakowanego serwisu.

Zabezpieczenia:
- ograniczony czas sesji (zapis w bazie i odczyt przy kazdym zadaniu usera z pomiarem czasu) - po jego przekroczeniu (np. 10min bez aktywnosci dla bankow, godzine dla serwisow rozrywkowych) odnawiamy sid i prosimy o ponowne zalogowanie
- sprawdzac user agent w ramach tej samej sesji
- sprawdzac ip (ale to moze byc utrudnione ze wzgledu na NAT i Proxy... w przypadku proxy moga sie zmieniac ip przy ich zbyt duzym obciazeniu)