 [SESSION] Genialny pomysł na obronę sesji |
| [SESSION] Genialny pomysł na obronę sesji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%) 
 |
Wpadł mi do głowy pewnien pomysł ale chciałbym go zweryfikowac bo moje 'genialne' pomysły często bywają mylne (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
Co gdybyśmy przy każdej sesji wysyłali do ciasteczka aktualny numer wywołania sesji a następnie sprawdzali czy każde wywołanie następuje kolejno po sobie. Wtedy nawet jeśli ktoś ukradnie ciastko sesyjne to nie trafi nigdy z numerkiem (prawie nigdy). |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 663 Pomógł: 6 Dołączył: 3.06.2007 Skąd: Kraków Ostrzeżenie: (0%)
|
ale będą 2 osobne ciastka. Jesli ktos ukradnie np id=2234234 oraz run=12 a w miedzy czasie prawdziwy użytkownik wykona ze 2 akcje to run zmieni się na 14. Wywołanie sesji o id=2234234 z run=12 bedzie oznaczało ze klucza używa złodziej poniwaz mozliwe są tylko wykonania run=run+1;
Ten post edytował Black-Berry 17.09.2008, 11:04:31 |
|
|
|
Black-Berry [SESSION] Genialny pomysł na obronę sesji 17.09.2008, 10:35:50 
wookieb Zeby ukraść komuś id sesji to trzeba ukrasc ciaste... 17.09.2008, 10:59:37 wookieb Identyczny efekt uzyskujesz odnawiając id sesji na... 17.09.2008, 11:17:05 Black-Berry mówisz o session_regenerate_id i standardowym usta... 17.09.2008, 11:25:40 dr_bonzo A co jak user straci ciacho z nr sekwencji, lub lo... 17.09.2008, 11:27:23 Black-Berry Jeśli straci to sesja wygasa. Jeśli włacza przeglą... 17.09.2008, 11:29:24 wookieb Cytat(Black-Berry @ 17.09.2008, 12:2... 17.09.2008, 11:30:34 Black-Berry U mnie nie działa. Mam serwer na nazwa.pl. Po wsta... 17.09.2008, 11:48:00 
mike Cytat(Black-Berry @ 17.09.2008, 12:4... 17.09.2008, 11:50:23 Black-Berry fakt:) Idiota ze mnie .
Rzecz jednak w tym, że j... 17.09.2008, 11:54:35 wookieb Tak Tylko ze najpierw rekord zostanie usuniety a ... 17.09.2008, 12:01:11 Black-Berry No właśnie nie da się tego zrobić. Tak czy inaczej... 17.09.2008, 12:03:46 wookieb Cytat(Black-Berry @ 17.09.2008, 13:0... 17.09.2008, 12:09:40 Black-Berry Tak ale jesli wysle ciacho a potem wykonam funkcje... 17.09.2008, 12:14:13 mike Cytat(Black-Berry @ 17.09.2008, 13:1... 17.09.2008, 12:15:38 wookieb moze mały algorytm?
1) Zapisujesz aktualny k... 17.09.2008, 12:23:48 Black-Berry tak ale musisz sprawdzic czy rekord istnieje bo je... 17.09.2008, 15:48:59 wookieb A znasz zapytanie replace? Najlepsze do tego zada... 17.09.2008, 15:55:38 Black-Berry Nie Zapodaj proszę. 17.09.2008, 15:59:05 mike Cytat(Black-Berry @ 17.09.2008, 16:5... 17.09.2008, 16:12:57 Black-Berry @mike Nie zasmiecaj wątków i wyluzuj bo nerwowy je... 17.09.2008, 16:28:15  |
|
Aktualny czas: 7.10.2025 - 11:08 |
