[PHP]Session Fixation Opcje

[--MarekK--]

Witam.
Mam problem ze zrozumieniem problemu wiec postaram się go przedstawić. Mam aplikację a w niej sekcję odpowiedzalną za bezpieczeństwo dokladnie za kontrole Sesji. W ramach obrony przed Session Fixation stosuje prosty skrypt

[PHP] pobierz, plaintext 
if (!isset($_SESSION['inicjuj']))
        {
                session_regenerate_id();
                $_SESSION['inicjuj'] = true;
       }
[PHP] pobierz, plaintext 

I teraz wcielam się w "tego złego" i próbuję namieszać. Tworzę stronę która generuje mi ciasteczko do tej witryny z losowym SSID daje link do strony dla "ofiary" (ja nią jestem) następnie "ofiara" loguję się do aplikacji i....?
Moje zaskoczenie session_regenerate_id(); działa jak należy tworzony jest nowy SSID ale... po każdym odświeżeniu strony użytkownik musi znowu się logować gdyż w jego plikach coockie's jest złośliwe ciasteczko z przygotowanym SSID i np będzie ono istnieć tydzień. Przez tydzień nieszczęsliwy użytkownik ma problemy z korzystania z mojego serwisu bo...? co odświeży stronę to musi się znowu logować (jego sesja zostaje zniszczona przez session_regenerate_id();.

Pytanie do Was co można zrobić żeby uniknąć takiej sytuacji ?

[nospor]

Jak już tak cytujesz tę wiki to proszę:

One way to improve security is not to accept session identifiers that were not generated by the server. However, as noted above, this does not prevent all session fixation attacks.

To po pierwsze.
Po drugie i bez tej notki ten kod jest totalnie bez sensu. Co najwyżej może dotyczyć sytuacji, gdyż ktoś podrzuci całą sesję, a nie tylko jej identyfikator

Poza tym mam jeszcze pytanie. Parametr cookiedomain nie służy do tego aby ciasteczko zostało utworzone pod konkretny adres ? - Ucze się więc dla tego mam dużo pytań.

domain służy do określania adresów w ramach domeny, a nie różnych domen. Gdyby domena A mogła ustawiać ciacho w domenie B to by się działo w necie że ohohoho.

ps: przeczytaj cały link z wiki. Masz tam kupę zdecydowanie lepszych rozwiązań.