Sesje, jakie metedy najbezpieczniejsze

Sesje, jakie metedy najbezpieczniejsze

Avatarus Zobacz profil	5.02.2008, 10:46:37 Post #1
Grupa: Zarejestrowani Postów: 304 Pomógł: 0 Dołączył: 12.12.2006 Skąd: Pszów Ostrzeżenie: (0%)	Witam Stworzyłem prymitywny system logowania opartego na razie tylko o sesje (bez tabel i cookies). Działa ona tak: na początku każdego pliku który wyświetla stronę (np index.php, news.php, artykul.php) mam funkcje session_start() Potem jest logowanie. Ściąga dane z formularza (login i hasło), potem jest zapytanie SQL, jeśli znajdzie takiego usera w bazie to ustawia zmienne sesyjne: [PHP] pobierz, plaintext <?php $_SESSION['user']=tu są dane z tabeli $_SESSION['pass']=tu są dane z tabeli (oczywiście hasło hashowane md5) $_SESSION['level']=tu są dane z tabeli odnośnie poziomu usera. Czy to user, mod czy admin ?> [PHP] pobierz, plaintext Przy wylogowywaniu jest robione session_destroy() Czy takie coś jest bezpieczne? Chyba nie. Można przecież jakoś ukraść sesje. Jak byście wy napisali sprawniejszy (i co ważniejsze) BEZPIECZNIEJSZY system sesji. Z góry dziękuje na pomoc, naprawdę mi zależy na tym Pozdrawiam. Ten post edytował Avatarus 5.02.2008, 12:33:16

Odpowiedzi

Avatarus Zobacz profil	6.02.2008, 11:08:56 Post #2
Grupa: Zarejestrowani Postów: 304 Pomógł: 0 Dołączył: 12.12.2006 Skąd: Pszów Ostrzeżenie: (0%)	no dobra ale mam teraz problem natury logicznej.... skoro w Cookie będzie przechowywany jakiś hash (tylko nie hash Id sesji itp) ale jakiś inny losowy ciąg np transformacja daty+ nazwa usera + coś tam jeszcze.... no to jeśli ktoś skradnie cookies to ma pełen dostęp do sesji. Jeśli wprowadzić sprawdzanie IP, zdenerwuje to masę userów, jak wiadomo spora część ma neo....Jeśli w zamian zastosować user_agent to też dość łatwo można takie coś obejść bo jak wiadomo większość userów ma przeważnie najnowsze wersje swoich przeglądarek (nie wliczając w to userów IE ^^) ja można to jeszcze poprawić? Załóżmy że sesja ma być podtrzymywana jeśli jest z tego samego komputera (albo bardzo podobnego (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) ) Chce tak skonfigurować dane sesji żeby tylko powołane osoby miały do niej dostęp, niestety jak wiadomo sprawdzanie IP odpada... no i jeszcze jedno. jak sprawdzacie później w skryptach czy ktoś jest zarejestrowany? Ja mam teraz na zasadzie jeśli istnieje $_SESSION[user] i $_SESSION[user_level] to zalogowany w innym wypadku nie. Oczywiście wszystkie zmienne sesji są unsetowane przed session_destroy tak dla pewności. Myślicie że tak może być? Ten post edytował Avatarus 6.02.2008, 11:19:02

Posty w temacie

Avatarus Sesje, jakie metedy najbezpieczniejsze 5.02.2008, 10:46:37

nowotny Poszukaj trochę, tu na forum i w google... znajdzi... 5.02.2008, 10:55:13

em1X 1) Domyślnie sesja korzysta z Cookie Zaczynając s... 5.02.2008, 11:03:05

sopel Cytat(em1X @ 5.02.2008, 11:03:05 ) 2)... 5.02.2008, 11:55:01

Avatarus no to ciągniemy temat dalej. Poczytałem to forum i... 5.02.2008, 13:51:04

sopel CytatKolumna "ilosc blednych logowań" el... 5.02.2008, 19:20:11

nowotny Cytat(sopel @ 5.02.2008, 19:20:11 ) i... 5.02.2008, 20:01:31

Avatarus przeczytałem właśnie PDFa z php.net: http://www.ac... 5.02.2008, 23:29:34

ucho Możesz jeszcze zapamiętywać IP i np UserAgent podc... 6.02.2008, 10:32:45

.chudy. IP może sie zmieniać jeżeli będziesz się łączyć pr... 6.02.2008, 10:46:10

Avatarus no dobra ale mam teraz problem natury logicznej...... 6.02.2008, 11:08:56

sopel CytatNo więc tak po tych lekturach (i kilku i... 6.02.2008, 11:16:19

specialplan Osobiscie dane sesji trzymam w bazie danych i ciag... 6.02.2008, 11:23:29

Avatarus Cytathmm, to gdzie je zamierzasz umieścić? w tabel... 6.02.2008, 11:29:27

specialplan Musisz miec unikalny ID na podstawie ktorego porow... 6.02.2008, 11:34:38

Avatarus no dobra ale wytłumaczcie mi czy te session ID to ... 6.02.2008, 12:52:36

specialplan To, co podales, sluzy raczej do ograniczenia przek... 6.02.2008, 13:02:05

Avatarus no czyli tak jak napisałem w wyżej będzie to w peł... 6.02.2008, 13:09:11

specialplan Podmiana ID nie bedzie raczej mozliwa, gdy ID sesj... 6.02.2008, 13:13:50

Avatarus no czyli mogę powoli zacząć zabierać się za pisani... 6.02.2008, 13:23:04

bełdzio to może tak btw http://www.beldzio.com/bezpieczens... 7.02.2008, 10:26:06

Avatarus Bełdzio czytam twój blog Fajnie i zwięźle piszesz... 7.02.2008, 10:32:11

specialplan @Beldzio W zasadzie moja klasa sesji jest zbudowa... 7.02.2008, 10:59:45

bełdzio Cytat(specialplan @ 7.02.2008, 10:59... 8.02.2008, 12:35:03

Jarod @Avatarus: Mam własną klasę (handler) sesji. Wszys... 7.02.2008, 13:31:45

sammael Jak chcecie uniknąć zapisu SIDa w ciastkach i lin... 7.02.2008, 17:53:55

Avatarus no dobra ale jak ktoś ma neo to co? Szlag trafi je... 7.02.2008, 18:44:18

specialplan Niekoniecznie - chyba, ze w czasie trwania sesji r... 8.02.2008, 10:13:11

Avatarus no właśnie sęk w tym że potrzebuje logowanie na dł... 8.02.2008, 11:23:12

specialplan O, faktycznie jest. No to mielismy bardzo podobny ... 8.02.2008, 12:37:09

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl