Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Zabezpieczenie przed przechwytem sesji
gazelek
post
Post #1





Grupa: Zarejestrowani
Postów: 85
Pomógł: 3
Dołączył: 28.02.2008

Ostrzeżenie: (0%)
-----

Tak sobie ostatnio rozmyslalem nad mechanizmem zabezpieczania przechwycenia sesji... oprocz sprawdzania sesid zapisanego w ciastku wypada zrobic cos jeszcze, np. sprawdzenie ip, z ktorego sesja zostala utworzona. Problem jest taki, ze po dodaniu sprawdzania ip uzytkownik neostrady co 24h bedzie sie musial logowac na nowo. Sprawdzanie przegladarki jest bezsensowne wiec wymyslilem - sprawdzanie adresu MAC (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tyle, ze w tablicy $_SERVER nie ma zmiennej opisujacej adres MAC urzadzenia wywolujacego skrypt. Dwa pytania - jest to wogole mozliwe? A jesli nie, to w jaki sposob Wy zabezpieczacie sie przed kradzieza sesji?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
gazelek
post
Post #2





Grupa: Zarejestrowani
Postów: 85
Pomógł: 3
Dołączył: 28.02.2008

Ostrzeżenie: (0%)
-----

@zakrecony: dzieki.

@hateman: w moim przypadku to nic nie wnosi. Zabezpiecza jedynie przed spreparowaniem identyfikatora sesji. Jesli jednak id sesji zostalo przechwycone w inny sposob? Zabezpieczenie z drugiej czesci artykulu - sprawdzanie ip i przegladarki odpada ze wzgledow podanych w pierwszym poscie.
Go to the top of the page
+Quote Post

Posty w temacie
- gazelek   [PHP]Zabezpieczenie przed przechwytem sesji   2.10.2008, 10:17:57
- - zakręcony   session_regenerate_id(true);   2.10.2008, 10:41:00
- - Piotr_BB   Dolacze sie. Znaczy to, ze w kazdym pliku, przy k...   2.10.2008, 10:53:28
- - hateman   http://albi.vxe.pl/2008/02/29/session-fixation/   2.10.2008, 12:27:31
- - gazelek   @zakrecony: dzieki. @hateman: w moim przypadku to...   2.10.2008, 12:46:28
- - gox   sprawdzanie przegladarki bezsensowne? IMO bardziej...   2.10.2008, 13:25:00
|- - gazelek   Cytat(gox @ 2.10.2008, 14:25:00 ) spr...   3.10.2008, 10:29:28
- - bełdzio   generalnie to zabezpieczenie sie przed XSS + trzym...   2.10.2008, 16:34:07
- - bełdzio   a sam generujesz sessid ? bo jesli tak to upewnij ...   3.10.2008, 11:23:44
- - gazelek   Tak, sam generuje sessid. Postac maja podobna do t...   3.10.2008, 19:11:49
- - gox   "Sprawa adresu MAC wydawala sie dosc sensowna...   3.10.2008, 19:22:21

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 3.10.2025 - 00:33
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn