 Podszywanie sesji, Propozycje uchronienia sie przed tym |
| Podszywanie sesji, Propozycje uchronienia sie przed tym |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 3 Pomógł: 0 Dołączył: 28.12.2005 Ostrzeżenie: (0%) 
 |
Witam
Chcialbym się dowiedziec w jaki sposob mozna sie zabezpieczyc przed podszywaniem sie sesji np. w systemie logowania (Pan A przez przypadek przesyla panu B link z SID). Czy musze do tego wykorzystywac weryfikacje oparta o ip i/lub $USER_AGENT ? Czy moze warto napisac wlasny mechanizm sesji? Czekam na wasze propozycje i sposoby rozwiazania tego problemu. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%)
|
mam nieodparte wrazenie ze juz jakis czas temu dyskusja na ten temat dosc zażarcie sie toczyla. osobiscie uwazam, ze sesje najlepiej opierac tylko na cookies, ladnie poinformowac usera zeby wlaczyl cookies i dlaczego i tego sie trzymac.
zabezpieczenie na ip jest dosc ulomne (wystarczy ze np. damy linka z przyklejonym id sesji kumplowi z bloku i juz autpryzowany jako my), a HTTP_X_FORWARDED_FOR mozna sfalszowac, wiec polegac na tym ze za bardzo nie mozna z punktu widzenie bezpieczenstwa. |
|
|
|
sazaail Podszywanie sesji 28.12.2005, 10:11:11 
dtb własny mechamizm:
[PHP] pobierz, plaintext <?ph... 28.12.2005, 10:25:13 sazaail No dobra a gdy nasz gosc ma wylaczone ciastka ? 28.12.2005, 10:44:58 UDAT To zostaje tylko
[PHP] pobierz, plaintext <?php... 28.12.2005, 11:11:43 SongoQ Ale czy jest sens az tak zabezpieczac? Wiele serwi... 28.12.2005, 11:13:43 
brachu Popieram!!! Rowniez uwazam, ze nalezy ... 28.12.2005, 13:33:27  |
|
Aktualny czas: 6.10.2025 - 13:36 |
