 password_hash w $_SESSION, security |
| password_hash w $_SESSION, security |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 460 Pomógł: 49 Dołączył: 5.06.2011 Ostrzeżenie: (0%) 
 |
Chodzi mi o przybliżenie tematu security w przypadku danych przechowywanych w $_SESSION.
Otóż spotkałem się z teorią, że warto dokonywać uwierzytelnienia użytkownika (authentication) przy każdym wchodzeniu na każdą podstronę serwisu internetowego. Wtedy niebezpieczeństwo włamania się przez osoby 3-cie maleje. Rozumiem to tak, że przechowujemy w sesji login i password_hash użytkownika i za każdy wejściem na podstronę go uwierzytelniamy, czyli weryfikujemy password_hash z bazą danych. I moje pytanie, czy przechowywanie password_hash w $_SESSION nie jest niebezpieczne? Czytałem, że przechowywanie plain text password, czyli normalnie hasła, w $_SESSION jest zdecydowanie niebezpieczne. Ale czy password_hash nie jest przypadkiem równie wystarczającą daną do wejścia na czyjeś konto i co za tym idzie - wymagającą unicestwienia zaraz po wykorzystaniu? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 460 Pomógł: 49 Dołączył: 5.06.2011 Ostrzeżenie: (0%)
|
Właśnie też mi coś w tym nie grało. Wziąłem to z jakiegoś starego wątku na forumweb.pl sprzed 8 lat, może więc wiekowość tłumaczy takie teorie.
http://www.forumweb.pl/tematy-ogolne/jak-c...15#post248351_0 Aczkolwiek na SO też są takie wypowiedzi, że plain text password never!!! w sesji, ale w domyśle autorzy wypowiedzi jakoś wskazują, że zhaszowany to tak. |
|
|
|
trzczy password_hash w $_SESSION 7.02.2016, 12:42:48 
kapslokk Sesja jest trzymana na serwerze, więc to co w niej... 7.02.2016, 12:51:36 Damonsson A w jaki sposób to Cię niby bardziej zabezpiecza? ... 7.02.2016, 13:02:00 viking Na moje oko to raczej chodziło o regenerację id se... 7.02.2016, 13:03:29  |
|
Aktualny czas: 28.12.2025 - 19:29 |
