Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Zadbać o swoje sesje, czyli o bezpieczeństwie nieco :)
Solimo
post
Post #1





Grupa: Zarejestrowani
Postów: 39
Pomógł: 2
Dołączył: 11.08.2007

Ostrzeżenie: (0%)
-----

Witam serdecznie!

Po przewertowaniu dziesiątek artykułów i nie tylko, wciąż męczy mnie jedna kwestia. Co jeżeli ktoś pozna ID sesji, czy session_regenerate_id(true) ma tutaj jakieś znaczenie? Np. user pójdzie sobie na obiad i wtym momencie ktos buchie mu SID i włamując się na konto innego usera przeładuje strone. regeneracja id nada wtedy nowe ID ale do kogo? Nie moge zrozumieć tej jednej rzeczy. Wydaje mi sie, że utrata SID to juz kaplica, prawda (IMG:style_emoticons/default/snitch.gif) ?

Czytając na ten temat często spotykałem się z opinią, że ładowanie sesji do bazy jest genialnym pomysłem. To wciąż jest id sesji tyle ze w bazie a nie w pliku. Lepsza administracja ale wieksze obciążenie.

Pytam o sytuację - cookie u usera, a nie w pasku url, + SSL.
Pozdrawiam,
Robert

Ten post edytował Solimo 11.09.2009, 08:58:56
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
mrok
post
Post #2





Grupa: Zarejestrowani
Postów: 258
Pomógł: 17
Dołączył: 22.05.2007

Ostrzeżenie: (0%)
-----

Cytat
Po przewertowaniu dziesiątek artykułów i nie tylko, wciąż męczy mnie jedna kwestia. Co jeżeli ktoś pozna ID sesji, czy session_regenerate_id(true) ma tutaj jakieś znaczenie?

Tak - user który bedzie mial starego sida zostnanie wylogowany (IMG:style_emoticons/default/winksmiley.jpg)

Cytat
Np. user pójdzie sobie na obiad i wtym momencie ktos buchie mu SID i włamując się na konto innego usera przeładuje strone. regeneracja id nada wtedy nowe ID ale do kogo?

Dla osoby która wykona jakis request do serwera - czyli jesli user je biad to faktycznie bedzie to napastnik


Cytat
Nie moge zrozumieć tej jednej rzeczy. Wydaje mi sie, że utrata SID to juz kaplica, prawda

Niekoniecznie - mozesz jeszcze rejestrowac wersje przegladarki, ip, etc


Cytat
Czytając na ten temat często spotykałem się z opinią, że ładowanie sesji do bazy jest genialnym pomysłem. To wciąż jest id sesji tyle ze w bazie a nie w pliku. Lepsza administracja ale wieksze obciążenie.

To ma tylko zastosowanie w przypadku sharedhosting - pliki z sesjami wszystkich strona na danym serwerze sa trzyamane w jednym folderze i kazdy ma do nich dostep. Miejsce przechowywania tych plikow mozesz zmienic jesli admin pozwoli
Go to the top of the page
+Quote Post
viking
post
Post #3





Grupa: Zarejestrowani
Postów: 6 381
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

Cytat(mrok @ 11.09.2009, 10:07:49 ) *
mozesz zmienic jesli admin pozwoli


session.save_path "" PHP_INI_ALL

Możesz zmienić w dowolnym momencie.
Go to the top of the page
+Quote Post

Posty w temacie
- Solimo   Zadbać o swoje sesje   11.09.2009, 08:57:42
- - mrok   CytatPo przewertowaniu dziesiątek artykułów i nie ...   11.09.2009, 09:07:49
|- - viking   Cytat(mrok @ 11.09.2009, 10:07:49 ) m...   11.09.2009, 09:12:38
- - Solimo   CytatNiekoniecznie - mozesz jeszcze rejestrowac we...   11.09.2009, 09:21:09
- - erix   A może byś tak zajrzał z łaski swojej do przyklejo...   11.09.2009, 11:31:32

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 5.10.2025 - 11:25
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn