Bezpieczeństwo skryptów PHP opratych na sesji Opcje

[Michael2318]

Zastanawiam się nad bezpieczeństwem skryptów opartych o php-owskie sesje oraz bazę MySQL. Załóżmy, że przy logowaniu, wyszukuję w bazie czy istnieje user o podanym haśle i nicku. Jeśli istnieje to tworzę sesję. No i właśnie... Do sesji nie powinno się przypisywać żadnych haseł/nicków, ale czy można przypisać ID danego usera? Co jeśli przypiszę sesję tak:

[PHP] pobierz, plaintext 
$_SESSION['login'] = $user_id;
[PHP] pobierz, plaintext 

gdzie $user_id to np. 1, czyli admin? Czy to jest 100% bezpieczne rozwiązanie? No bo jeśli w jakiś sposób dałoby się zmienić zawartość sesji i ktoś przypisze sobie do swojej sesji 1 to automatycznie jest na koncie admina i robi co chce. Pytanie czy tak się da?

No i druga sprawa - dostęp do Panelu Admina (PA). Czy wystarczy, jeśli do PA będę wpuszczał osoby, które w bazie mają przypisane user_level (pole tinyint(1) default 0) == 1 ? Teoretycznie nikt sobie nie zmieni sam tej wartości bo musiałby mieć dostęp do bazy, a jesli już miałby dostęp do bazy to może wszystko, wiec czy taka alternatywa wytarczy, czy raczej trzeba dorzucić jakieś oddzielne logowania, cuda wianki?

[netmare]

Po pierwsze dałem przykład i poprosiłem Cię o wskazanie korzyści w bezpieczeństwie na korzyść COOKIE w tym konkretnym przykładzie. Nie dałeś.

Po drugie nie twierdzę że sprawdzanie referera jest receptą na bezpieczną sesję.

Po trzecie cała nasza dyskusja zaczęła się od mojej opinii że stwierdzenie NIGDY jest nad wyrost. Sam nigdy nie dopuściłem przekazywania id w sesji, ale potrafię sobie wyobrazić kiedy bez obaw mógłbym na to zezwolić. Skoro robisz audyty bezpieczeństwa to chyba wiesz że złamać da się wszystko, tylko kwestia czy atak nie jest droższy od wartości zdobytej informacji. Dlatego myślę że można by powiedzieć zamiast NIGDY, np "staraj się unikać, jeśli nie rozumiesz zagrożeń z tym związanych lub nie ma szczególnych powodów do zezwolenia na to". Bo tak jakiś nowicjusz przeczyta to i zawsze będzie miał w głowie, że tak nie można bo mu stronę shaczą, nie rozumiejąc jak i dlaczego.

I to wszystko co miałem do powiedzenia w temacie. O zagrożeniach można by tu było sypnąć autorowi wiele lektur, ale on tylko pytał czy da się zmienić zawartość sesji, a ja o uzasadnienie poprosiłem kolegę reptile_rex sądząc, że być może ja o czymś nie pomyślałem, a nie po to żeby wywoływać burzę w szklance wody i czytać o przeprowadzoncyh audytach bezpieczeństwa (choć warto mieć w świadomości, że są tacy którzy przeprowadzają je nie posiadając stosownych umów :]).

Podsumowując proponuję zdrowy rozsądek, bo po co wdrażać zebrane do kupy pomysły wszystkich forumowiczów dla strony która dla zalogowanych wyświetla dowcip dnia.
Osoby biorące udział w tej dyskusji pozdrawiam serdecznie.

(Raczej nie będę kontynuował wypowiadania się w tym wątku bo zrobił się straszny offtop i zbędne bicie piany.)

[netmare]

No tak.. bo rzeczywiście dla strony wyświetlającej dowcip dnia warto tworzyć logowanie.

Jeśli znajdziesz 100 ludzi którzy zapłacą 1 zł sms-em za dostęp do tej treści to warto. Dodatkowo włączyć use_trans_id bo może znajdziesz jednego więcej.

(...) złamać da się wszystko (...)

Nie wszystko (...)

Mocne stwierdzenie. Chyba dysponujesz jakąś bezcenną wiedzą (IMG:style_emoticons/default/tongue.gif)

[pyro]

Jeśli znajdziesz 100 ludzi którzy zapłacą 1 zł sms-em za dostęp do tej treści to warto.

Nie rozumiem o co Ci chodzi z tym:

Dodatkowo włączyć use_trans_id bo może znajdziesz jednego więcej.

Ale:

Kod

One: Hehe, chyba najlepszy żart jaki w życiu widziałem.
Two: Gdzie?
One: page.pl/funny_joke.php?PHPSESSID=123, tylko niestety trzeba wysłać SMSa za złotówkę
Two: I tak mi się niedługo odnawia abonament, a mam jeszcze dużo kasy na komie, to co mi szkodzi, wyślę sobie SMSa.
Two: Ale zaraz zaraz... Jak wszedłem na stronę to pokazał mi się dowcip, ale nie chciało żadnego SMSa. A dowcip niezły. Jakby chciało ode mnie to dałbym tę złotówkę ale tak to...

Mocne stwierdzenie. Chyba dysponujesz jakąś bezcenną wiedzą (IMG:style_emoticons/default/tongue.gif)

Chodzi o to, że po prostu niektórzy tworzą skrypty tylko tak, żeby działały. I na ten przykład:

Kod

https://secureweb.hqda.pentagon.mil/dpo/Details.asp?ID=108'

http://www.science.doe.gov/grants/announcements.asp?stat=4&fy_year=15'

http://www2.dla.mil/j-6/dlmso/elibrary/RecInfo.asp?seldsid=004030F832N0NP00'

https://legacyapps.mcsc.usmc.mil/question.asp?id=23

http://www.wiesbaden.army.mil/sites/about/phonebook.asp?page=p

http://iro.erdc.usace.army.mil/newsItem.asp?id=139'

http://eeoa.army.pentagon.mil/web/eeoc_org/key_personnel/bios.cfm?id=3

http://www.sexualassault.army.mil/news_view.cfm?id=9'

https://secureweb2.hqda.pentagon.mil/VDAS_ArmyPostureStatement/2011/information_papers/Posteddocument.asp?id=151"

http://www.usag.livorno.army.mil/wellnessd.asp?detail=47'

http://www.escwa.un.org/main/scroll/printwhatsnew.asp?id=561'

http://social.un.org/unpfiidata/UNPFII_Recommendations_Database_fulltext.asp?picfield=Description+of+Implementation&where='

http://www.ikd-m.africom.mil/getArticleFresh.asp?art=6000&lang=0'

http://social.un.org/unpfiidata/UNPFII_Recommendations_Database_view.asp?editid=19'

http://ocsdata.ncd.noaa.gov/nm/SupportImage.asp?ItemID=142989'

http://www.wdtb.noaa.gov/registration/registerv2.asp?section_id=1&block_id=2&class_id=17'

http://swfsc.noaa.gov/publications/swcpub/Publications.asp?PubYr='

http://www.roc.noaa.gov/wsr88d/Program/IFRAMES/ICDS/ICD/description.asp?ID=131'

http://www.oso.noaa.gov/poesstatus/componentStatusSummary.asp?spacecraft=14'

https://ssm.roc.noaa.gov/hotline/gsm.asp?site=KCBX'

Wszystko strony rządowe i wojskowe, a znalazłem je teraz w 3 minuty po przeczytaniu Twojego posta (nie moje linki). Rząd ma pieniądze, a nie może sobie pozwolić na taki wydatek, który stworzy bezpieczne strony i sieci, nie rozumiem tego paradoksu zupełnie.

Swoją drogą podczas ostatnich wyborów dane logowania do panelu administracyjnego PO to.... admin / admin.