Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczeństwo skryptów PHP opratych na sesji
Michael2318
post
Post #1





Grupa: Zarejestrowani
Postów: 651
Pomógł: 116
Dołączył: 3.06.2012
Skąd: Lędziny

Ostrzeżenie: (0%)
-----


Zastanawiam się nad bezpieczeństwem skryptów opartych o php-owskie sesje oraz bazę MySQL. Załóżmy, że przy logowaniu, wyszukuję w bazie czy istnieje user o podanym haśle i nicku. Jeśli istnieje to tworzę sesję. No i właśnie... Do sesji nie powinno się przypisywać żadnych haseł/nicków, ale czy można przypisać ID danego usera? Co jeśli przypiszę sesję tak:

  1. $_SESSION['login'] = $user_id;


gdzie $user_id to np. 1, czyli admin? Czy to jest 100% bezpieczne rozwiązanie? No bo jeśli w jakiś sposób dałoby się zmienić zawartość sesji i ktoś przypisze sobie do swojej sesji 1 to automatycznie jest na koncie admina i robi co chce. Pytanie czy tak się da?

No i druga sprawa - dostęp do Panelu Admina (PA). Czy wystarczy, jeśli do PA będę wpuszczał osoby, które w bazie mają przypisane user_level (pole tinyint(1) default 0) == 1 ? Teoretycznie nikt sobie nie zmieni sam tej wartości bo musiałby mieć dostęp do bazy, a jesli już miałby dostęp do bazy to może wszystko, wiec czy taka alternatywa wytarczy, czy raczej trzeba dorzucić jakieś oddzielne logowania, cuda wianki?
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
netmare
post
Post #2





Grupa: Zarejestrowani
Postów: 285
Pomógł: 37
Dołączył: 18.12.2007
Skąd: Łódź

Ostrzeżenie: (0%)
-----


To w jednym się zgadzamy. Ale to z refererem... słów mi brakło, jaka w tym wypadku jest różnica między bezpieczeństwem cookie vs url?? albo masz dostęp do maszyny albo snifujesz nic więcej nie zrobisz. Warto czytać ze zrozumieniem zamiast się gadać, że się ryzyko nie opłaciło bo to stwierdzenie Tobie się nie opłaciło. Dajesz tutaj scenariusz ataku na url, który przy tych samych założeniach nie powiedzie się na cookie, nie ma wstawianej treści na stronę i nie ma linków na zewnątrz.

Edit: Co gorsza wydaje mi się że url będzie bardziej odporne na CSRF (IMG:style_emoticons/default/wink.gif)

Ten post edytował netmare 4.02.2013, 08:36:06
Go to the top of the page
+Quote Post
pyro
post
Post #3





Grupa: Zarejestrowani
Postów: 2 148
Pomógł: 230
Dołączył: 26.03.2008

Ostrzeżenie: (0%)
-----


Cytat(netmare @ 4.02.2013, 08:25:46 ) *
To w jednym się zgadzamy. Ale to z refererem... słów mi brakło, jaka w tym wypadku jest różnica między bezpieczeństwem cookie vs url?? albo masz dostęp do maszyny albo snifujesz nic więcej nie zrobisz. Warto czytać ze zrozumieniem zamiast się gadać, że się ryzyko nie opłaciło bo to stwierdzenie Tobie się nie opłaciło. Dajesz tutaj scenariusz ataku na url, który przy tych samych założeniach nie powiedzie się na cookie, nie ma wstawianej treści na stronę i nie ma linków na zewnątrz.

Edit: Co gorsza wydaje mi się że url będzie bardziej odporne na CSRF (IMG:style_emoticons/default/wink.gif)


To samo mi mówili ludzie, dla których aplikacji wykonywałem pełen audyt bezpieczeństwa na umowę. Zarzucono mi, że na siłę pakuję nieznaczące błędy do raportu, bo niby chcę więcej zarobić w ten sposób. Jak za jakiś czas wysłałem screenshot, w którym jestem zalogowany jako administrator z nowym nickiem, osoby te nigdy więcej nie zarzuciły mi próby naciągactwa. Mało tego nazwano mnie geniuszem, a nie trzeba być wcale geniuszem ("Ale jakto? Przecież był sprawdzany referer i user-agent!"), tylko znajomość działania danych technologii.

Cytat(netmare @ 4.02.2013, 08:25:46 ) *
To w jednym się zgadzamy. Ale to z refererem... słów mi brakło, jaka w tym wypadku jest różnica między bezpieczeństwem cookie vs url??
...
Warto czytać ze zrozumieniem zamiast się gadać


No widzisz - zarzucasz mi nieczytanie ze zrozumieniem, a sam nie czytasz tego co piszę, a dodatkowo wciskasz mi jeszcze coś na usta, czego nigdy nie powiedziałem. Nigdy nie twierdziłem, że przy sprawdzaniu referera jest większe bezpieczeństwo przy sesjach stricte cookie. Według mnie w obu przypadkach sprawdzanie referera to słabe zabezpieczenie (tak naprawdę to tylko niewielkie utrudnienie), a nie tylko w jednym z nich.
Go to the top of the page
+Quote Post

Posty w temacie
- Michael2318   Bezpieczeństwo skryptów PHP opratych na sesji   2.02.2013, 11:43:54
- - pyro   Cytat(Michael2318 @ 2.02.2013, 11:43...   2.02.2013, 11:57:38
- - Michael2318   Cytat(pyro @ 2.02.2013, 11:57:38 ) A ...   2.02.2013, 12:00:22
- - pyro   CytatDziałanie sesji znam Nie znasz, bo te pytani...   2.02.2013, 12:06:32
- - Michael2318   CytatTo właściwie są pytania o to jak działają ses...   2.02.2013, 12:09:49
- - netmare   Da się zmienić zawartość sesji na współdzielonym s...   2.02.2013, 12:59:19
- - Michael2318   W takim razie jakie będzie najlepsze ustawienie se...   2.02.2013, 14:11:37
- - reptile_rex   @up Po prostu inne niż domyślne na hostingu? Doda...   2.02.2013, 15:31:54
|- - netmare   Cytat(reptile_rex @ 2.02.2013, 15:31...   2.02.2013, 16:52:04
- - reptile_rex   Session Hijacking   2.02.2013, 17:02:18
- - netmare   Mnie osobiście to nie przekonuje. Moim zdaniem wyk...   2.02.2013, 17:11:17
- - Damonsson   Nie do końca, znaczniej łatwiej wykraść url niż co...   2.02.2013, 23:09:03
- - netmare   Ja nie napisałem że nie jest łatwiej, tylko że jed...   3.02.2013, 22:45:31
|- - pyro   Cytat(netmare @ 3.02.2013, 22:45:31 )...   3.02.2013, 22:56:23
- - netmare   To w jednym się zgadzamy. Ale to z refererem... sł...   4.02.2013, 08:25:46
|- - pyro   Cytat(netmare @ 4.02.2013, 08:25:46 )...   4.02.2013, 09:10:43
- - netmare   Po pierwsze dałem przykład i poprosiłem Cię o wska...   4.02.2013, 09:52:17
|- - netmare   Cytat(pyro @ 4.02.2013, 10:27:09 ) No...   4.02.2013, 10:57:58
|- - pyro   Cytat(netmare @ 4.02.2013, 10:57:58 )...   4.02.2013, 11:12:46
- - pyro   Cytat(netmare @ 4.02.2013, 09:52:17 )...   4.02.2013, 10:27:09
- - netmare   Chodziło mi o prosty przykład strony o charkterze ...   4.02.2013, 11:45:26
- - pyro   Cytat(netmare @ 4.02.2013, 11:45:26 )...   4.02.2013, 12:06:38


Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 12.10.2025 - 08:40