Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] Bezpieczeństwo sesji, coś poprawić?
chormi
post 22.03.2013, 23:50:29
Post #1





Grupa: Zarejestrowani
Postów: 26
Pomógł: 0
Dołączył: 28.09.2007

Ostrzeżenie: (10%)
X----

Witam buduję swoją aplikację. Staram się utrudnić życie kombinatorom.

Pseudokod:

[PHP] pobierz, plaintext 
  1.  
  2. 	// ktoś wchodzi na strone.
  3.  
  4. 	stworzenie_sesji()
  5. 	{
  6. 		- generowanie keya sesji
  7. 		- zapis do bazy (userid=0, useragent, ip) // niezalogowany userid 0
  8. 		- zapis id rekordu z tabeli sesji do 'sid' w SESSION
  9. 		- zapis keya w SESSION
  10. 	}
  11.  
  12. 	jako niezalogowany
  13. 	{
  14. 		stworzenie_sesji();
  15. 		nakaz_zalogowania();
  16. 	}
  17.  
  18. 	logowanie()
  19. 	{
  20. 		- zmodyfikowanie keya sesji
  21. 		- zapis keya w SESSION
  22. 	}
  23.  
  24. 	jako zalogowany
  25. 	{
  26. 		pobranie danych z tabeli sesji - rekord o 'sid'
  27.  
  28. 		porównanie:
  29. 		- klucza zapisanego w sesji
  30. 		- adresu ip
  31. 		- useragent
  32. 		z rekordem w tabeli sesji
  33.  
  34. 		jeżeli któreś z powyższych się nie zgadza
  35. 		{
  36. 			niszczenie sesji
  37. 			usuwanie wpisu sesji z tabeli
  38. 			nakaz_zalogowania();
  39. 		}			
  40. 	}
  41.  
[PHP] pobierz, plaintext


W sesji php trzymam tylko:

'sid' czyli id rekordu z tabeli sesji
skey czyli unikalny identyfikator sesji taki sam zapisywany jest w rekordzie sesji

Sessionid trzymane i przekazywane tylko w ciastku.
Zmiana sessionid przez session_regenerate_id.

Rozmyślałem też nad trzymaniem ip,useragent i userid w sesji żeby rzadziej korzystać z tabeli sesji.

Coś poprawić? Jakieś sugestie?

Ten post edytował chormi 23.03.2013, 11:59:16
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
markonix
post 24.03.2013, 11:41:53
Post #2





Grupa: Zarejestrowani
Postów: 2 707
Pomógł: 290
Dołączył: 16.12.2008
Skąd: Śląsk

Ostrzeżenie: (0%)
-----

Ja uważam, że to świetna wtyczka ponieważ blokuje naprawdę dużo syfu typu "ukryte lajki", dużo skryptowych i nachalnych reklam.
Poza tym wejście z noscirptem na zainfekowaną stronę nie powoduje pobrania wirusa (wyłączam na chwilę - od razu antywirus alarmuje), z noscriptem jeszcze nigdy mi się nie zdarzyło złapać niczego z sieci. Zabezpiecza też przed atakami np. CSRF. No i przecież ta wtyczka blokuje tylko skrypty określone przez użytkownika, nie wszystkie.. Wiadomo, że są strony, które bez JS w ogóle tracą funkcjonalność.

To tylko jedna wtyczka, która tak działa, JS można po prostu wyłączyć. Nie wiem w jakiej wersji, abo po jakimś autoupdate ale w IE miałem skrypty wyłączone domyślnie. Mamy jeszcze urządzenia mobilne starszej generacji, przeglądarki specjalistyczne itp. W każdym razie upieram się, że sesja powinna być rozwiązaniem serwerowym.

Ten post edytował markonix 24.03.2013, 11:43:13


--------------------
eBizo.pl || Generator losowych haseł || Doładowania telefonów (VAT 23%), w tym płatność BITcoin || Zwiększ liczbę wejść na Twoją stronę
Go to the top of the page
+Quote Post

Posty w temacie
- chormi   [PHP] Bezpieczeństwo sesji   22.03.2013, 23:50:29
- - StrefaPi   UserAgent nie jest żadnym zabezpieczeniem... Jak d...   22.03.2013, 23:56:26
|- - chormi   Cytat(StrefaPi @ 22.03.2013, 23:56:26...   22.03.2013, 23:59:17
- - Damonsson   Oczywiście, że jest.   23.03.2013, 00:00:03
- - StrefaPi   Tylko po co?   23.03.2013, 00:01:05
- - Damonsson   Jest kolejnym elementem układanki, którą trzeba uł...   23.03.2013, 00:07:54
- - StrefaPi   Akurat to ten najłatwiejszy element, który moim zd...   23.03.2013, 00:11:05
- - chormi   Załóżmy, że obaj userzy mają najnowszego ff i auto...   23.03.2013, 10:24:47
|- - !*!   Cytat(chormi @ 23.03.2013, 10:24:47 )...   23.03.2013, 12:30:03
|- - Fifi209   Cytat(chormi @ 23.03.2013, 11:24:47 )...   23.03.2013, 12:55:37
- - StrefaPi   może jeszcze sprawdźmy jaką mają rozdzielczość ekr...   23.03.2013, 13:21:51
|- - markonix   Cytat(StrefaPi @ 23.03.2013, 13:21:51...   23.03.2013, 19:42:11
|- - Fifi209   Cytat(markonix @ 23.03.2013, 20:42:11...   23.03.2013, 19:50:35
|- - markonix   Cytat(Fifi209 @ 23.03.2013, 19:50:35 ...   23.03.2013, 19:57:29
- - chormi   Ok. co ile regenerować id sesji po określonej licz...   23.03.2013, 19:33:55
|- - !*!   Cytat(chormi @ 23.03.2013, 19:33:55 )...   24.03.2013, 10:49:16
- - Fifi209   No to albo masz dodatkowo rozdzielczość albo nie m...   23.03.2013, 20:01:44
- - markonix   Ja i 2 miliony użytkowników firefox. btw. i co? p...   23.03.2013, 20:06:01
|- - pyro   Cytat(markonix @ 23.03.2013, 20:06:01...   24.03.2013, 11:02:38
- - StrefaPi   ojej lol - o rozdzielczości napisałem to w ramach ...   23.03.2013, 20:41:00
- - markonix   Ja uważam, że to świetna wtyczka ponieważ blokuje ...   24.03.2013, 11:41:53
- - StrefaPi   Cytat(markonix @ 24.03.2013, 11:41:53...   24.03.2013, 12:16:44

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 14.08.2025 - 16:18
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn