 [PHP]Zabezpieczenie przed przechwytem sesji |
| [PHP]Zabezpieczenie przed przechwytem sesji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 85 Pomógł: 3 Dołączył: 28.02.2008 Ostrzeżenie: (0%) 
 |
Tak sobie ostatnio rozmyslalem nad mechanizmem zabezpieczania przechwycenia sesji... oprocz sprawdzania sesid zapisanego w ciastku wypada zrobic cos jeszcze, np. sprawdzenie ip, z ktorego sesja zostala utworzona. Problem jest taki, ze po dodaniu sprawdzania ip uzytkownik neostrady co 24h bedzie sie musial logowac na nowo. Sprawdzanie przegladarki jest bezsensowne wiec wymyslilem - sprawdzanie adresu MAC (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tyle, ze w tablicy $_SERVER nie ma zmiennej opisujacej adres MAC urzadzenia wywolujacego skrypt. Dwa pytania - jest to wogole mozliwe? A jesli nie, to w jaki sposob Wy zabezpieczacie sie przed kradzieza sesji?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)
|
generalnie to zabezpieczenie sie przed XSS + trzymanie SIDa w ciachu i będzie ok
http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji.freez |
|
|
|
gazelek [PHP]Zabezpieczenie przed przechwytem sesji 2.10.2008, 10:17:57 
zakręcony session_regenerate_id(true); 2.10.2008, 10:41:00 Piotr_BB Dolacze sie.
Znaczy to, ze w kazdym pliku, przy k... 2.10.2008, 10:53:28 hateman http://albi.vxe.pl/2008/02/29/session-fixation/ 2.10.2008, 12:27:31 gazelek @zakrecony: dzieki.
@hateman: w moim przypadku to... 2.10.2008, 12:46:28 gox sprawdzanie przegladarki bezsensowne? IMO bardziej... 2.10.2008, 13:25:00 
gazelek Cytat(gox @ 2.10.2008, 14:25:00 ) spr... 3.10.2008, 10:29:28 bełdzio a sam generujesz sessid ? bo jesli tak to upewnij ... 3.10.2008, 11:23:44 gazelek Tak, sam generuje sessid. Postac maja podobna do t... 3.10.2008, 19:11:49 gox "Sprawa adresu MAC wydawala sie dosc sensowna... 3.10.2008, 19:22:21  |
|
Aktualny czas: 3.10.2025 - 07:00 |
