 [PHP]Zabezpieczenie przed przechwytem sesji |
| [PHP]Zabezpieczenie przed przechwytem sesji |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 85 Pomógł: 3 Dołączył: 28.02.2008 Ostrzeżenie: (0%) 
 |
Tak sobie ostatnio rozmyslalem nad mechanizmem zabezpieczania przechwycenia sesji... oprocz sprawdzania sesid zapisanego w ciastku wypada zrobic cos jeszcze, np. sprawdzenie ip, z ktorego sesja zostala utworzona. Problem jest taki, ze po dodaniu sprawdzania ip uzytkownik neostrady co 24h bedzie sie musial logowac na nowo. Sprawdzanie przegladarki jest bezsensowne wiec wymyslilem - sprawdzanie adresu MAC (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tyle, ze w tablicy $_SERVER nie ma zmiennej opisujacej adres MAC urzadzenia wywolujacego skrypt. Dwa pytania - jest to wogole mozliwe? A jesli nie, to w jaki sposob Wy zabezpieczacie sie przed kradzieza sesji?
|
 |
 
|
 |
| -gox- |
Post
#2
|
|
Goście |
sprawdzanie przegladarki bezsensowne? IMO bardziej sensowne niz IP, jak w przytoczonym przez Ciebie przykladzie z Neostrada.
Jednak agresor moze w dosc prosty sposob kilkoma probami odgadnac przegladarke.. chyba ze przy takiej probie nastapi trwala blokada np. jego adresu IP... Tylko ze wtedy zdarzyc sie moze zbanowanie niewinnego usera, np. kiedy przegaldarka sie zupdatuje a nie wyczysci cookisow podczas tego procesu.. trzeba sprawdzic czy populrne browsy tak sie zachowuja bo strzelam. Wykradzenie sesji wymaga wstawienia kodu JS na twoim serwisie, jesli jestes pewien ze jest to niewykonalne, to mozna spac spokojnie. Osobiscie uzywam obu chwytow czyli Przegladarka + IP + oczywicie serwis odporny na XSS pozdro. |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 85 Pomógł: 3 Dołączył: 28.02.2008 Ostrzeżenie: (0%)
|
Cytat(gox @ 2.10.2008, 14:25:00 )  sprawdzanie przegladarki bezsensowne? IMO bardziej sensowne niz IP, jak w przytoczonym przez Ciebie przykladzie z Neostrada. Oj zle sie wyrazilem, sprawdzanie przegladarki na pewno jest bardziej sensowne niz sprawdzanie ip, ale jest to zabezpieczenie niezbyt trudne do zlamania. Tutaj mala ciekawostka - byc moze to troche sztuka dla sztuki, ale zrobilem wlasny system sesji, szczegolow technicznych nie bede podawal, ale mechanizm jest podobny, sessid jest trzymany w ciachach. Napisanie dodatkowej funkcji zabezpieczajacej nie jest problemem, ale trzeba miec pomysl na takie zabezpieczenie. Sprawa adresu MAC wydawala sie dosc sensowna - ale rozumiem, ze z poziomu php nie ma mozliwosci dostepu do mac-a klienta wysylajacego zadanie. Dziekuje bardzo za pomoc i pozdrawiam! |
|
|
|
gazelek [PHP]Zabezpieczenie przed przechwytem sesji 2.10.2008, 10:17:57 
zakręcony session_regenerate_id(true); 2.10.2008, 10:41:00 Piotr_BB Dolacze sie.
Znaczy to, ze w kazdym pliku, przy k... 2.10.2008, 10:53:28 hateman http://albi.vxe.pl/2008/02/29/session-fixation/ 2.10.2008, 12:27:31 gazelek @zakrecony: dzieki.
@hateman: w moim przypadku to... 2.10.2008, 12:46:28 bełdzio generalnie to zabezpieczenie sie przed XSS + trzym... 2.10.2008, 16:34:07 bełdzio a sam generujesz sessid ? bo jesli tak to upewnij ... 3.10.2008, 11:23:44 gazelek Tak, sam generuje sessid. Postac maja podobna do t... 3.10.2008, 19:11:49 
gox "Sprawa adresu MAC wydawala sie dosc sensowna... 3.10.2008, 19:22:21  |
|
Aktualny czas: 12.10.2025 - 02:23 |
