Logowanie - sesje czy cookie

Logowanie - sesje czy cookie, Bezpieczeństwo

Gitrix Zobacz profil	26.08.2016, 10:28:59 Post #1
Grupa: Zarejestrowani Postów: 49 Pomógł: 0 Dołączył: 17.10.2014 Ostrzeżenie: (10%)	Zacząłem ostatnio uzupełniać swoją wiedzę z PHP i mam mętlik w głowie. Zrobiłem sobie prosty system logowania oparty na cookies, jednak teraz dowiaduje się, że bezpieczniej jest robić logowanie na sesjach, gdyż podobno użytkownik może ciasteczka tworzyć sam oraz je edytować (https://www.youtube.com/watch?v=bW64jbnGYHw). Niejednokrotnie widzę na stronach internetowych napis, że ich witryna używa cookies, a po usunięciu ciasteczek z przeglądarki, następuje wylogowanie mnie. To jak to z tym wreszcie jest? Cookies czy sesje?

Odpowiedzi

lukaskolista Zobacz profil	28.08.2016, 18:22:20 Post #2
Grupa: Zarejestrowani Postów: 872 Pomógł: 94 Dołączył: 31.03.2010 Ostrzeżenie: (0%)	daro0 - widzę, że nie ogarniasz podstaw bezpieczeństwa. Co z tego, że rijandel, że trudny do złamania? Na prawdę to jest Twój argument? Właśnie nam powiedziałeś, jakiego algorytmu szyfrującego użyjesz w swojej "bezpiecznej" sesji. Znając algorytm jestem w stanie wstrzyknąć w sesję cokolwiek łącznie z tym, na jakiego usera jestem zalogowany. Prędzej czy później rozgryzę strukturę Twojego ciasteczka chociażby pisząc prosty skrypt generujący różne warianty struktur danych zawierających login/id usera a wtedy... W ciastku to sobie możesz trzymać informację o tym, czy user zaakceptował politykę cookie + id jego sesji, która po każdym zapytaniu powinno być przegenerowane. Pomijam już możliwość popełnienia błędu i braku szyfrowania zawartości ciastka w jakimś określonym przypadku.

daro0 Zobacz profil	29.08.2016, 07:05:23 Post #3
Grupa: Zarejestrowani Postów: 88 Pomógł: 12 Dołączył: 17.09.2014 Skąd: Krasnystaw Ostrzeżenie: (0%)	Cytat(lukaskolista @ 28.08.2016, 19:22:20 ) Właśnie nam powiedziałeś, jakiego algorytmu szyfrującego użyjesz w swojej "bezpiecznej" sesji. Znając algorytm jestem w stanie wstrzyknąć w sesję cokolwiek łącznie z tym, na jakiego usera jestem zalogowany. Prędzej czy później rozgryzę strukturę Twojego ciasteczka chociażby pisząc prosty skrypt generujący różne warianty struktur danych zawierających login/id usera a wtedy... Nie kolego. Po pierwsze nawet nie wiedziałbyś jaki konkretnie szyfr zostałby użyty bo 1) to się ustawia w config.php do którego nie masz dostępu, bo jest po stronie serwera, 2) także klucz szyfrujący się ustawia i też byś go nie znał. https://kohanaframework.org/3.2/guide/api/Encrypt To raz. A dwa, nawet gdybyś to rozgryzł i zmodyfikował ręcznie albo jakimś skryptem wartość ciasteczka to i tak musiałbyś obliczyć SHA1 na podstawie: agent+nazwa+wartość+sól a tej soli nie znasz, bo też jest na serwerze. Tak więc framework nawet tego nie przyjmie. https://kohanaframework.org/3.2/guide/api/Cookie Oczywiście ciasteczko z takiego Firefoxa można przechwycić a wiadomo gdzie jest składowane i zapisać (nie zmienione) na innym komputerze z FF, więc chyba jeśli chodzi o możliwość Session Fixation to marny pomysł. Należałoby się chyba zawsze wylogować ręcznie, wtedy dane użytkownika zostaną usunięte z sesji (nawet Cookie): https://kohanaframework.org/3.2/guide/api/Auth#logout Ten post edytował daro0 29.08.2016, 07:14:34

Posty w temacie

Gitrix Logowanie - sesje czy cookie 26.08.2016, 10:28:59

kapslokk Zeby sesja zadzialala musisz zapisac gdzies jej ID... 26.08.2016, 10:31:00

Gitrix Ale co jest bezpieczniejsze - logowanie na ciastec... 26.08.2016, 10:35:15

kapslokk Sesje - dane sesji sa trzymane na serwerze, a cias... 26.08.2016, 10:36:40

Gitrix Dzięki za odpowiedź. O to mi chodziło. 26.08.2016, 10:40:06

Damonsson Chyba nie do końca załapałeś. Więc dodam swoje trz... 26.08.2016, 11:04:15

daro0 Tyle że sesje można trzymać także w ciasteczkach. ... 26.08.2016, 11:58:46

viking Są też biblioteki które zwiększają bezpieczeństwo ... 26.08.2016, 12:07:25

daro0 Ogólnie to i tak najlepiej robić takie rzeczy na f... 26.08.2016, 12:50:12

Comandeer To może ja rzucę: JWT Cytatjeszcze zaszyfrowane ... 26.08.2016, 15:16:22

daro0 Cytat(Comandeer @ 26.08.2016, 16:16:2... 26.08.2016, 15:52:54

lukaskolista Ustalmy kilka faktów: - base64 encode i decode nie... 27.08.2016, 10:25:12

daro0 Cytat(lukaskolista @ 27.08.2016, 11:25... 27.08.2016, 16:09:41

em1X Zainteresujcie się JWT. Cała sesja przechowywana j... 27.08.2016, 12:11:02

Comandeer Niekoniecznie przy JWT sesja siedzi w ciastku. Czę... 27.08.2016, 13:46:57

em1X A ciastko to jak jest przekazywane? 27.08.2016, 13:49:01

Comandeer Touché. Chodziło mi o dedykowany nagłówek Authoriz... 27.08.2016, 14:08:30

Pyton_000 Co do zapamiętaj mnie to za każdym razem musi być ... 27.08.2016, 21:06:08

szajens daro0 - ćpiesz? Co ty w ogóle za tezy wymyślasz. ... 27.08.2016, 22:12:07

lukaskolista daro0 - widzę, że nie ogarniasz podstaw bezpieczeń... 28.08.2016, 18:22:20

daro0 Cytat(lukaskolista @ 28.08.2016, 19:22... 29.08.2016, 07:05:23

szajens Cytat(daro0 @ 29.08.2016, 08:05:23 ) ... 30.08.2016, 21:07:35

daro0 Cytat(szajens @ 30.08.2016, 22:07:35 ... 31.08.2016, 06:49:59

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl