 Bezpieczeństwo skryptów PHP opratych na sesji |
| Bezpieczeństwo skryptów PHP opratych na sesji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 651 Pomógł: 116 Dołączył: 3.06.2012 Skąd: Lędziny Ostrzeżenie: (0%) 
 |
Zastanawiam się nad bezpieczeństwem skryptów opartych o php-owskie sesje oraz bazę MySQL. Załóżmy, że przy logowaniu, wyszukuję w bazie czy istnieje user o podanym haśle i nicku. Jeśli istnieje to tworzę sesję. No i właśnie... Do sesji nie powinno się przypisywać żadnych haseł/nicków, ale czy można przypisać ID danego usera? Co jeśli przypiszę sesję tak:
gdzie $user_id to np. 1, czyli admin? Czy to jest 100% bezpieczne rozwiązanie? No bo jeśli w jakiś sposób dałoby się zmienić zawartość sesji i ktoś przypisze sobie do swojej sesji 1 to automatycznie jest na koncie admina i robi co chce. Pytanie czy tak się da? No i druga sprawa - dostęp do Panelu Admina (PA). Czy wystarczy, jeśli do PA będę wpuszczał osoby, które w bazie mają przypisane user_level (pole tinyint(1) default 0) == 1 ? Teoretycznie nikt sobie nie zmieni sam tej wartości bo musiałby mieć dostęp do bazy, a jesli już miałby dostęp do bazy to może wszystko, wiec czy taka alternatywa wytarczy, czy raczej trzeba dorzucić jakieś oddzielne logowania, cuda wianki? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 285 Pomógł: 37 Dołączył: 18.12.2007 Skąd: Łódź Ostrzeżenie: (0%)
|
To w jednym się zgadzamy. Ale to z refererem... słów mi brakło, jaka w tym wypadku jest różnica między bezpieczeństwem cookie vs url?? albo masz dostęp do maszyny albo snifujesz nic więcej nie zrobisz. Warto czytać ze zrozumieniem zamiast się gadać, że się ryzyko nie opłaciło bo to stwierdzenie Tobie się nie opłaciło. Dajesz tutaj scenariusz ataku na url, który przy tych samych założeniach nie powiedzie się na cookie, nie ma wstawianej treści na stronę i nie ma linków na zewnątrz.
Edit: Co gorsza wydaje mi się że url będzie bardziej odporne na CSRF (IMG:style_emoticons/default/wink.gif) Ten post edytował netmare 4.02.2013, 08:36:06 |
|
|
|
Michael2318 Bezpieczeństwo skryptów PHP opratych na sesji 2.02.2013, 11:43:54 
pyro Cytat(Michael2318 @ 2.02.2013, 11:43... 2.02.2013, 11:57:38 Michael2318 Cytat(pyro @ 2.02.2013, 11:57:38 ) A ... 2.02.2013, 12:00:22 pyro CytatDziałanie sesji znam
Nie znasz, bo te pytani... 2.02.2013, 12:06:32 Michael2318 CytatTo właściwie są pytania o to jak działają ses... 2.02.2013, 12:09:49 netmare Da się zmienić zawartość sesji na współdzielonym s... 2.02.2013, 12:59:19 Michael2318 W takim razie jakie będzie najlepsze ustawienie se... 2.02.2013, 14:11:37 reptile_rex @up Po prostu inne niż domyślne na hostingu?
Doda... 2.02.2013, 15:31:54 
netmare Cytat(reptile_rex @ 2.02.2013, 15:31... 2.02.2013, 16:52:04 reptile_rex Session Hijacking 2.02.2013, 17:02:18 netmare Mnie osobiście to nie przekonuje. Moim zdaniem wyk... 2.02.2013, 17:11:17 Damonsson Nie do końca, znaczniej łatwiej wykraść url niż co... 2.02.2013, 23:09:03 netmare Ja nie napisałem że nie jest łatwiej, tylko że jed... 3.02.2013, 22:45:31 pyro Cytat(netmare @ 3.02.2013, 22:45:31 )... 3.02.2013, 22:56:23 pyro Cytat(netmare @ 4.02.2013, 08:25:46 )... 4.02.2013, 09:10:43 netmare Po pierwsze dałem przykład i poprosiłem Cię o wska... 4.02.2013, 09:52:17 netmare Cytat(pyro @ 4.02.2013, 10:27:09 ) No... 4.02.2013, 10:57:58 pyro Cytat(netmare @ 4.02.2013, 10:57:58 )... 4.02.2013, 11:12:46 pyro Cytat(netmare @ 4.02.2013, 09:52:17 )... 4.02.2013, 10:27:09 netmare Chodziło mi o prosty przykład strony o charkterze ... 4.02.2013, 11:45:26 pyro Cytat(netmare @ 4.02.2013, 11:45:26 )... 4.02.2013, 12:06:38  |
|
Aktualny czas: 14.10.2025 - 14:57 |
