Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Sesje, jakie metedy najbezpieczniejsze
Avatarus
post
Post #1





Grupa: Zarejestrowani
Postów: 304
Pomógł: 0
Dołączył: 12.12.2006
Skąd: Pszów

Ostrzeżenie: (0%)
-----

Witam
Stworzyłem prymitywny system logowania opartego na razie tylko o sesje (bez tabel i cookies). Działa ona tak:
na początku każdego pliku który wyświetla stronę (np index.php, news.php, artykul.php) mam funkcje session_start()
Potem jest logowanie. Ściąga dane z formularza (login i hasło), potem jest zapytanie SQL, jeśli znajdzie takiego usera w bazie to ustawia zmienne sesyjne:

[PHP] pobierz, plaintext 
  1. <?php
  2. $_SESSION['user']=tu są dane z tabeli
  3. $_SESSION['pass']=tu są dane z tabeli (oczywiście hasło hashowane md5)
  4. $_SESSION['level']=tu są dane z tabeli odnośnie poziomu usera. Czy to user, mod czy admin
  5. ?>
[PHP] pobierz, plaintext


Przy wylogowywaniu jest robione session_destroy()
Czy takie coś jest bezpieczne? Chyba nie. Można przecież jakoś ukraść sesje.
Jak byście wy napisali sprawniejszy (i co ważniejsze) BEZPIECZNIEJSZY system sesji.

Z góry dziękuje na pomoc, naprawdę mi zależy na tym
Pozdrawiam.

Ten post edytował Avatarus 5.02.2008, 12:33:16
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
em1X
post
Post #2





Grupa: Zarejestrowani
Postów: 984
Pomógł: 41
Dołączył: 16.03.2002
Skąd: Płock

Ostrzeżenie: (0%)
-----

1) Domyślnie sesja korzysta z Cookie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Zaczynając sesję PHP wysyła do użytkownika Cookie z numerem sesji.
2) Danych sesyjnych nie można ukraść. Znajdują się na serwerze. Chyba, że ktoś "ukradnie" komuś numer sesji, wtedy wstawia go sobie do swojego Cookie i .. jest podszyty pod obcą osobę.
3) Nie musisz hashować hasła w sesji. Jak pisałem dane są niedostępne dla klientów.
Go to the top of the page
+Quote Post
sobstel
post
Post #3





Grupa: Zarejestrowani
Postów: 853
Pomógł: 25
Dołączył: 27.08.2003
Skąd: Katowice

Ostrzeżenie: (0%)
-----

Cytat(em1X @ 5.02.2008, 11:03:05 ) *
2) Danych sesyjnych nie można ukraść. Znajdują się na serwerze. Chyba, że ktoś "ukradnie" komuś numer sesji, wtedy wstawia go sobie do swojego Cookie i .. jest podszyty pod obcą osobę.


niestety można. oprócz sposobu, który sam zauważyłeś to pogooglaj sobie o innych zagrożeniach takich jak session poisoning, session exposure czy session injection. dotyczy to zwłaszcza hostingów współdzielonych.
Go to the top of the page
+Quote Post

Posty w temacie
- Avatarus   Sesje, jakie metedy najbezpieczniejsze   5.02.2008, 10:46:37
- - nowotny   Poszukaj trochę, tu na forum i w google... znajdzi...   5.02.2008, 10:55:13
- - em1X   1) Domyślnie sesja korzysta z Cookie Zaczynając s...   5.02.2008, 11:03:05
|- - sopel   Cytat(em1X @ 5.02.2008, 11:03:05 ) 2)...   5.02.2008, 11:55:01
- - Avatarus   no to ciągniemy temat dalej. Poczytałem to forum i...   5.02.2008, 13:51:04
- - sopel   CytatKolumna "ilosc blednych logowań" el...   5.02.2008, 19:20:11
|- - nowotny   Cytat(sopel @ 5.02.2008, 19:20:11 ) i...   5.02.2008, 20:01:31
- - Avatarus   przeczytałem właśnie PDFa z php.net: http://www.ac...   5.02.2008, 23:29:34
- - ucho   Możesz jeszcze zapamiętywać IP i np UserAgent podc...   6.02.2008, 10:32:45
- - .chudy.   IP może sie zmieniać jeżeli będziesz się łączyć pr...   6.02.2008, 10:46:10
- - Avatarus   no dobra ale mam teraz problem natury logicznej......   6.02.2008, 11:08:56
- - sopel   CytatNo więc tak po tych lekturach (i kilku i...   6.02.2008, 11:16:19
- - specialplan   Osobiscie dane sesji trzymam w bazie danych i ciag...   6.02.2008, 11:23:29
- - Avatarus   Cytathmm, to gdzie je zamierzasz umieścić? w tabel...   6.02.2008, 11:29:27
- - specialplan   Musisz miec unikalny ID na podstawie ktorego porow...   6.02.2008, 11:34:38
- - Avatarus   no dobra ale wytłumaczcie mi czy te session ID to ...   6.02.2008, 12:52:36
- - specialplan   To, co podales, sluzy raczej do ograniczenia przek...   6.02.2008, 13:02:05
- - Avatarus   no czyli tak jak napisałem w wyżej będzie to w peł...   6.02.2008, 13:09:11
- - specialplan   Podmiana ID nie bedzie raczej mozliwa, gdy ID sesj...   6.02.2008, 13:13:50
- - Avatarus   no czyli mogę powoli zacząć zabierać się za pisani...   6.02.2008, 13:23:04
- - bełdzio   to może tak btw http://www.beldzio.com/bezpieczens...   7.02.2008, 10:26:06
- - Avatarus   Bełdzio czytam twój blog Fajnie i zwięźle piszesz...   7.02.2008, 10:32:11
- - specialplan   @Beldzio W zasadzie moja klasa sesji jest zbudowa...   7.02.2008, 10:59:45
|- - bełdzio   Cytat(specialplan @ 7.02.2008, 10:59...   8.02.2008, 12:35:03
- - Jarod   @Avatarus: Mam własną klasę (handler) sesji. Wszys...   7.02.2008, 13:31:45
- - sammael   Jak chcecie uniknąć zapisu SIDa w ciastkach i lin...   7.02.2008, 17:53:55
- - Avatarus   no dobra ale jak ktoś ma neo to co? Szlag trafi je...   7.02.2008, 18:44:18
- - specialplan   Niekoniecznie - chyba, ze w czasie trwania sesji r...   8.02.2008, 10:13:11
- - Avatarus   no właśnie sęk w tym że potrzebuje logowanie na dł...   8.02.2008, 11:23:12
- - specialplan   O, faktycznie jest. No to mielismy bardzo podobny ...   8.02.2008, 12:37:09

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 3.10.2025 - 14:05
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn