 [przegladarka] sesja widoczna w pasku adresu |
| [przegladarka] sesja widoczna w pasku adresu |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 320 Pomógł: 2 Dołączył: 17.03.2006 Skąd: Siemianowice Ostrzeżenie: (0%) 
 |
Witam. Mam takie pytanie odnosnie widocznosci sesji w pasku adresu... Zauwazylem ostatnio, ze gdy zrobie jakas strone na localnym serwerze, a potem ja przenosze na serwer zewnetrzny to nie od razu ale po jakims czasie do adresu dopisuje mi sie id sesji, np cos takiego:
url=oferta&PHPSESSID=d89ca84c1b3ced91b08495bccf2e8622# Czy jest to w jakims stopniu niebezpieczne jesli strona na ktorej sie to pojawia nie jest np. strona bankowa a np. posiada maly panel administracyjny np. do zarzadzania cenami produktow w ofercie? Lub wogole nie jest oparta o baze danych bo na takich tez sie to pojawia... A moze to wina serwera na ktorym stoi strona bo wczesniej gdy mialem wykupiony inny serwer to nic takiego sie nie pojawialo... Jesli ktos wie cos na ten temat to prosze o informacje... Pozdrawiam, ŁF. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 732 Pomógł: 80 Dołączył: 25.05.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
Moim zdaniem nie, ale tutaj jest zapisane jak to wyłączyć - "Step 1. Preventing PHPSESSID from appearing".
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 418 Pomógł: 8 Dołączył: 16.11.2006 Ostrzeżenie: (0%)
|
A moim zdaniem jest niebezpieczne, zwłaszcza jeśli jesteś np. w kafejce internetowej. Jeśli ktoś ma dobry wzrok i wypatrzy twój identyfikator sesji, to może się pod ciebie bez problemu podszyć (chociażby dodając go do adresu strony) i narobić ci syfu.
|
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 732 Pomógł: 80 Dołączył: 25.05.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
Może się nie znam za dobrze na tych zmiennych, ale pomyśl, co Tobie to da ? Masz sessid i co ? powiedz mi jaka strona nie sprawdza ani hasła przetrzymywanego w sesji ani loginu, tylko na podstawie sessionid daje Tobie prawa do robienia wszystkiego, zresztą wydaje mi się, że jest to zmienna do odczytu i jeśli w skrypcie nie ma tak napisane, to za pomocą wpisania w adres, czyli metodą GET nie da się jej nadpisać, chyba, że w kodzie masz nadpisywanie jej, co byłoby absurdem.
A jak ktoś wchodzi na stronę to jest generowany jest nowe PHPSESSID, które moim zdaniem nie podlega nadpisaniu. Ten post edytował sniezny_wilk 6.03.2008, 11:21:41 |
|
|
|
|
Post
#5
|
|
|
Administrator wortalu Grupa: Przyjaciele php.pl Postów: 960 Pomógł: 39 Dołączył: 21.10.2003 Skąd: Kraków Ostrzeżenie: (0%)
|
~sniezny ale walisz farmazony (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Widzę że kompletnie nie wiesz czym jest sid. Z Twojej wypowiedzi wynika że jeśli sid nie można nadpisać to jest ono generowane przy każdym requeście... co jest głupotą. Jakoś identyfikator musi zostać przekazany.
Cytat powiedz mi jaka strona nie sprawdza ani hasła przetrzymywanego w sesji ani loginu, tylko na podstawie sessionid daje Tobie prawa do robienia wszystkiego ale przecież w sesji mogłeś już być zalogowany! więc w tedy już nie sprawdza... Odpowiedź na pytanie czy przekazywanie sid w url może być niebezpieczne brzy: tak. Bo często jest tak że ludzie kopiują sobie jakieś linki do stron swoim znajomym/nieznajomym, by coś pokazać. Oczywiście są do tego zabezpieczenia. Robi się odpowiednie walidatory i wraz z id sesji sprawdza się httpUserAgent czy IP... |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 732 Pomógł: 80 Dołączył: 25.05.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
@Sabisitk - racja, słyszałem, że przesyłając link SID można wbić się na czyjąś sesje. Napisałem, że nie wiem dokładnie.. wracając do kopiowania tych linków to większość stron i tak wywalało błąd sesji, czyli jakieś sprawdzanie po stronie skryptu było, może IP ? Wydaje mi się to proste i myślę, że większość stron tak czy inaczej ma przed tym zabezpieczenie. A jeśli chodzi o rozwiązanie problemu to podałem znaleziony artykuł - sądzę, że będzie pomocny.
|
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 285 Pomógł: 37 Dołączył: 18.12.2007 Skąd: Łódź Ostrzeżenie: (0%)
|
@ sniezny_wilk, to ciekawe bo zmoich doświadczeń wynika że zdecydowana większość stron nie jest zabepieczona przed podmianą sid, zresztą co byś nie zapisał w sesji to jak prześlesz sid, to oznacza że to co tam zapisane tyczy się Ciebie. I trzeba się nakombinować żeby zabezpieczyć stronę przed czymś takim.
|
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 732 Pomógł: 80 Dołączył: 25.05.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
Cytat(netmare @ 6.03.2008, 12:03:03 )  @ sniezny_wilk, to ciekawe bo zmoich doświadczeń wynika że zdecydowana większość stron nie jest zabepieczona przed podmianą sid, zresztą co byś nie zapisał w sesji to jak prześlesz sid, to oznacza że to co tam zapisane tyczy się Ciebie. I trzeba się nakombinować żeby zabezpieczyć stronę przed czymś takim. No tak, ale po pierwsze grono stron ukrywa SID, po drugie, co ze sprawdzaniem IP ? tego zapisanego w sesji i tego aktualnego chociażby ? |
|
|
|
|
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 285 Pomógł: 37 Dołączył: 18.12.2007 Skąd: Łódź Ostrzeżenie: (0%)
|
obstawiam, że sprawdzanie IP, w sytuacji opisanej powyżej czyli kawiarenki internetowej, nie przyniesie żadnego rezultatu. Pod pojęciem ukrywa masz na myśli przechowywanie w ciachu, tak? no to już jest jakaś poprawa bezpieczeństwa, ale jak duża to zależy od sytuacji, często okazuje się znikoma (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
|
|
|
|
 |
|
Aktualny czas: 24.08.2025 - 14:38 |
