[PHP] Bezpieczeństwo sesji

[PHP] Bezpieczeństwo sesji, coś poprawić?

chormi Zobacz profil	22.03.2013, 23:50:29 Post #1
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 28.09.2007 Ostrzeżenie: (10%)	Witam buduję swoją aplikację. Staram się utrudnić życie kombinatorom. Pseudokod: [PHP] pobierz, plaintext // ktoś wchodzi na strone. stworzenie_sesji() { - generowanie keya sesji - zapis do bazy (userid=0, useragent, ip) // niezalogowany userid 0 - zapis id rekordu z tabeli sesji do 'sid' w SESSION - zapis keya w SESSION } jako niezalogowany { stworzenie_sesji(); nakaz_zalogowania(); } logowanie() { - zmodyfikowanie keya sesji - zapis keya w SESSION } jako zalogowany { pobranie danych z tabeli sesji - rekord o 'sid' porównanie: - klucza zapisanego w sesji - adresu ip - useragent z rekordem w tabeli sesji jeżeli któreś z powyższych się nie zgadza { niszczenie sesji usuwanie wpisu sesji z tabeli nakaz_zalogowania(); } } [PHP] pobierz, plaintext W sesji php trzymam tylko: 'sid' czyli id rekordu z tabeli sesji skey czyli unikalny identyfikator sesji taki sam zapisywany jest w rekordzie sesji Sessionid trzymane i przekazywane tylko w ciastku. Zmiana sessionid przez session_regenerate_id. Rozmyślałem też nad trzymaniem ip,useragent i userid w sesji żeby rzadziej korzystać z tabeli sesji. Coś poprawić? Jakieś sugestie? Ten post edytował chormi 23.03.2013, 11:59:16

Odpowiedzi

StrefaPi Zobacz profil	23.03.2013, 20:41:00 Post #2
Grupa: Zarejestrowani Postów: 235 Pomógł: 50 Dołączył: 2.03.2013 Ostrzeżenie: (0%)	ojej lol - o rozdzielczości napisałem to w ramach żartu na temat przesadności takich zabezpieczeń... ogólnie jestem przeciwny nawet zapisywaniu UserAgent jako wyznacznika użytkownika... ;) co chyba jasno wynikało z tego tematu... ps. "normalny" użytkownik internetu nie wyłącza js bo facebook nie działa wtedy... 2 milinoy użytkowników Firefoxa to mniej niż 0,5% wszystkich użytkowników Firefoxa (tylko Firefoxa) Ten post edytował StrefaPi 23.03.2013, 20:47:30

Posty w temacie

chormi [PHP] Bezpieczeństwo sesji 22.03.2013, 23:50:29

StrefaPi UserAgent nie jest żadnym zabezpieczeniem... Jak d... 22.03.2013, 23:56:26

chormi Cytat(StrefaPi @ 22.03.2013, 23:56:26... 22.03.2013, 23:59:17

Damonsson Oczywiście, że jest. 23.03.2013, 00:00:03

StrefaPi Tylko po co? 23.03.2013, 00:01:05

Damonsson Jest kolejnym elementem układanki, którą trzeba uł... 23.03.2013, 00:07:54

StrefaPi Akurat to ten najłatwiejszy element, który moim zd... 23.03.2013, 00:11:05

chormi Załóżmy, że obaj userzy mają najnowszego ff i auto... 23.03.2013, 10:24:47

!*! Cytat(chormi @ 23.03.2013, 10:24:47 )... 23.03.2013, 12:30:03

Fifi209 Cytat(chormi @ 23.03.2013, 11:24:47 )... 23.03.2013, 12:55:37

StrefaPi może jeszcze sprawdźmy jaką mają rozdzielczość ekr... 23.03.2013, 13:21:51

markonix Cytat(StrefaPi @ 23.03.2013, 13:21:51... 23.03.2013, 19:42:11

Fifi209 Cytat(markonix @ 23.03.2013, 20:42:11... 23.03.2013, 19:50:35

markonix Cytat(Fifi209 @ 23.03.2013, 19:50:35 ... 23.03.2013, 19:57:29

chormi Ok. co ile regenerować id sesji po określonej licz... 23.03.2013, 19:33:55

!*! Cytat(chormi @ 23.03.2013, 19:33:55 )... 24.03.2013, 10:49:16

Fifi209 No to albo masz dodatkowo rozdzielczość albo nie m... 23.03.2013, 20:01:44

markonix Ja i 2 miliony użytkowników firefox. btw. i co? p... 23.03.2013, 20:06:01

pyro Cytat(markonix @ 23.03.2013, 20:06:01... 24.03.2013, 11:02:38

StrefaPi ojej lol - o rozdzielczości napisałem to w ramach ... 23.03.2013, 20:41:00

markonix Ja uważam, że to świetna wtyczka ponieważ blokuje ... 24.03.2013, 11:41:53

StrefaPi Cytat(markonix @ 24.03.2013, 11:41:53... 24.03.2013, 12:16:44

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 2.10.2025 - 09:56

Hosting zapewnia

Forum PHP.pl