 Znów sesje... |
| Znów sesje... |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 0 Dołączył: 5.04.2003 Skąd: Warszawa Ostrzeżenie: (0%) 
 |
Moja autoryzacja na stronie wygląda tak:
1. przy logowaniu wysylam 2 cookiesy w jednym jest haslo a w drugim login 2. potem na kazdej stronce je czytam i sprawdzam w bazie Pytanie: Czy to jest bezpieczne? Pytanie2: Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura... Pytanie3 Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Przyjaciele php.pl Postów: 1 717 Pomógł: 0 Dołączył: 12.06.2002 Skąd: Wolsztyn..... Studia: Zielona Góra Ostrzeżenie: (0%)
|
Cytat Cytat Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura... Przepraszam, a o co chodzi? Pewnie o to, ze ktos moze "przypadkiem" wpisac sobie (w URL'u) ID sesji , ktore akurat jest uzywane przez kogos z wiekszymi uprawnieniami (np. admina). Wydaje mi sie, że jest to równie małoprawdopodobne co trafienie 6 w totka (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Chyba, że ktoś zapusci maszyne, ktora "przeleci" przez wszystkie mozliwe ID, ale to zajeloby za duzo czasu to raz (wszakże wszystkich ID przy std ustawieniach jest jedyne 34^32 przy zalozeniu, ze liter w alfabecie jest 24), skoro robilby to automat to musialby wiedziec po czym odroznic strone w wersji zalogowanej od zwyklej i pewnie sa jeszcze jakies utrudnienia, ktore nie wpadly mi do glowy. A jesli nawet az tak sie tego kolega woocash boi to mozna przy logowaniu wpisywac do sesji IP i potem przy sprawdzaniu sesji sprawdzac tez IP. Zawezi to grupe potencjalnych "hackerow" do jednej osoby (samego zalogowanego, ktory napewno zna haslo, wiec nie musi sie wlamywac (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) ) lub calej podsieci zalogowanego jesli jest on za NAT'em (wtedy w razie znaleznienia "hackera" latwo wymierzyc mu samosad (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ). Gorzej, jak uzywa proxy ale skad potencjalny hacker bedzie wiedzial, ze jest sprawdzanie IP... a nawet jak sie domysli to skad bedzie wiedzial, ze zalogowany np. admin korzysta z proxy, a nawet jesli (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) to bedzie musial jeszcze trafic te wlasciwe... |
|
|
|
woocash Znów sesje... 13.06.2003, 13:55:18 
Seth Re: Znów sesje... 13.06.2003, 14:40:35 DeyV Re: Znów sesje... 13.06.2003, 16:36:13 Seth Sesje sa jednym z najbezpieczniejszych sposobow pr... 13.06.2003, 17:41:39 woocash Re: Znów sesje... 14.06.2003, 09:36:20 Seth Re: Znów sesje... 14.06.2003, 11:57:11 woocash NO dobra 14.06.2003, 12:17:50 scanner 30 minut bez odświerzenia strony? Mało prawdopodob... 14.06.2003, 12:21:41 woocash 1.czyli po odświerzeniu sesja liczy się od nowa?
2... 14.06.2003, 12:31:56 Seth Cytat1.czyli po odświerzeniu sesja liczy się od no... 14.06.2003, 12:41:50 
woocash No dobrze.
1.Adres w url mamy gdy koleś nie przyjm... 14.06.2003, 12:46:22  |
|
Aktualny czas: 4.10.2025 - 19:13 |
