 password_hash w $_SESSION, security |
| password_hash w $_SESSION, security |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 460 Pomógł: 49 Dołączył: 5.06.2011 Ostrzeżenie: (0%) 
 |
Chodzi mi o przybliżenie tematu security w przypadku danych przechowywanych w $_SESSION.
Otóż spotkałem się z teorią, że warto dokonywać uwierzytelnienia użytkownika (authentication) przy każdym wchodzeniu na każdą podstronę serwisu internetowego. Wtedy niebezpieczeństwo włamania się przez osoby 3-cie maleje. Rozumiem to tak, że przechowujemy w sesji login i password_hash użytkownika i za każdy wejściem na podstronę go uwierzytelniamy, czyli weryfikujemy password_hash z bazą danych. I moje pytanie, czy przechowywanie password_hash w $_SESSION nie jest niebezpieczne? Czytałem, że przechowywanie plain text password, czyli normalnie hasła, w $_SESSION jest zdecydowanie niebezpieczne. Ale czy password_hash nie jest przypadkiem równie wystarczającą daną do wejścia na czyjeś konto i co za tym idzie - wymagającą unicestwienia zaraz po wykorzystaniu? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 2 355 Pomógł: 533 Dołączył: 15.01.2010 Skąd: Bydgoszcz Ostrzeżenie: (0%)
|
A w jaki sposób to Cię niby bardziej zabezpiecza? Na moje tu chodziło o wymaganie loginu i hasła przy każdym przejściu na podstronę, co z punktu widzenia UX jest samobójstwem. Jak ktoś przejmie czyjąś sesję to przecież z całą zawartością $_SESSION, które jest na serwerze jak zauważył kolega wyżej. A trzymanie haseł w $_SESSION jest o tyle niebezpieczne, że jak się coś wysypie i odpowiednio tego nie zabezpieczyłeś, to możesz zobaczyć zawartość tej zmiennej.
|
|
|
|
trzczy password_hash w $_SESSION 7.02.2016, 12:42:48 
kapslokk Sesja jest trzymana na serwerze, więc to co w niej... 7.02.2016, 12:51:36 viking Na moje oko to raczej chodziło o regenerację id se... 7.02.2016, 13:03:29 
trzczy Właśnie też mi coś w tym nie grało. Wziąłem to z j... 7.02.2016, 14:12:17  |
|
Aktualny czas: 28.12.2025 - 08:31 |
