Bezpieczeństwo skryptów PHP opratych na sesji Opcje

[Michael2318]

Zastanawiam się nad bezpieczeństwem skryptów opartych o php-owskie sesje oraz bazę MySQL. Załóżmy, że przy logowaniu, wyszukuję w bazie czy istnieje user o podanym haśle i nicku. Jeśli istnieje to tworzę sesję. No i właśnie... Do sesji nie powinno się przypisywać żadnych haseł/nicków, ale czy można przypisać ID danego usera? Co jeśli przypiszę sesję tak:

[PHP] pobierz, plaintext 
$_SESSION['login'] = $user_id;
[PHP] pobierz, plaintext 

gdzie $user_id to np. 1, czyli admin? Czy to jest 100% bezpieczne rozwiązanie? No bo jeśli w jakiś sposób dałoby się zmienić zawartość sesji i ktoś przypisze sobie do swojej sesji 1 to automatycznie jest na koncie admina i robi co chce. Pytanie czy tak się da?

No i druga sprawa - dostęp do Panelu Admina (PA). Czy wystarczy, jeśli do PA będę wpuszczał osoby, które w bazie mają przypisane user_level (pole tinyint(1) default 0) == 1 ? Teoretycznie nikt sobie nie zmieni sam tej wartości bo musiałby mieć dostęp do bazy, a jesli już miałby dostęp do bazy to może wszystko, wiec czy taka alternatywa wytarczy, czy raczej trzeba dorzucić jakieś oddzielne logowania, cuda wianki?

[pyro]

Po trzecie cała nasza dyskusja zaczęła się od mojej opinii że stwierdzenie NIGDY jest nad wyrost. Sam nigdy nie dopuściłem przekazywania id w sesji, ale potrafię sobie wyobrazić kiedy bez obaw mógłbym na to zezwolić. Skoro robisz audyty bezpieczeństwa to chyba wiesz że złamać da się wszystko, tylko kwestia czy atak nie jest droższy od wartości zdobytej informacji.

Nie wszystko, ale prawda jest niestety taka, że osób nie przestrzegających zasad bezpieczeństwa jest znaczny ogrom.

Dlatego myślę że można by powiedzieć zamiast NIGDY, np "staraj się unikać, jeśli nie rozumiesz zagrożeń z tym związanych lub nie ma szczególnych powodów do zezwolenia na to". Bo tak jakiś nowicjusz przeczyta to i zawsze będzie miał w głowie, że tak nie można bo mu stronę shaczą, nie rozumiejąc jak i dlaczego.

No tak... ale czy warto stosować trans_sid tylko dlatego, że można? Jaki byłby w tym sens, skoro domyślnie w PHP jest wyłączone. Nie dość, że trzeba by zmieniać konfigurację, to jeszcze nie ma w tym większego celu. Poza tym wymyśliłeś sobie przykład, gdzie użytkownik nie robi nic na stronie, a wiadomo, że w znacznej większości skryptów opartych na sesjach user coś jednak robi. Dodatkowo:

Nie jest wyolbrzymione, jednak rzeczywiście mogą mieć miejsce sytuacje, gdzie użycie trans_sid ma sensowne uzasadnienie. Ale to są rzadkie przypadki.

I to wszystko co miałem do powiedzenia w temacie. O zagrożeniach można by tu było sypnąć autorowi wiele lektur, ale on tylko pytał czy da się zmienić zawartość sesji

No i temat cały czas o tym był.

(choć warto mieć w świadomości, że są tacy którzy przeprowadzają je nie posiadając stosownych umów :]).

audyt bezpieczeństwa na umowę

Podsumowując proponuję zdrowy rozsądek, bo po co wdrażać zebrane do kupy pomysły wszystkich forumowiczów dla strony która dla zalogowanych wyświetla dowcip dnia.
Osoby biorące udział w tej dyskusji pozdrawiam serdecznie.

No tak.. bo rzeczywiście dla strony wyświetlającej dowcip dnia warto tworzyć logowanie.

(Raczej nie będę kontynuował wypowiadania się w tym wątku bo zrobił się straszny offtop i zbędne bicie piany.)

Może być.