Zadbać o swoje sesje, czyli o bezpieczeństwie nieco :) Opcje

[Solimo]

Witam serdecznie!

Po przewertowaniu dziesiątek artykułów i nie tylko, wciąż męczy mnie jedna kwestia. Co jeżeli ktoś pozna ID sesji, czy session_regenerate_id(true) ma tutaj jakieś znaczenie? Np. user pójdzie sobie na obiad i wtym momencie ktos buchie mu SID i włamując się na konto innego usera przeładuje strone. regeneracja id nada wtedy nowe ID ale do kogo? Nie moge zrozumieć tej jednej rzeczy. Wydaje mi sie, że utrata SID to juz kaplica, prawda (IMG:style_emoticons/default/snitch.gif) ?

Czytając na ten temat często spotykałem się z opinią, że ładowanie sesji do bazy jest genialnym pomysłem. To wciąż jest id sesji tyle ze w bazie a nie w pliku. Lepsza administracja ale wieksze obciążenie.

Pytam o sytuację - cookie u usera, a nie w pasku url, + SSL.
Pozdrawiam,
Robert

Ten post edytował Solimo 11.09.2009, 08:58:56

[Solimo]

Niekoniecznie - mozesz jeszcze rejestrowac wersje przegladarki, ip, etc

Tak oczwiście to robię.

Jednak szansa na to, o ile sesja ma rozsądny czas życi, niegłupi algorytm sid oraz użytkownik nie zawini - np. ciastkowy robak w systemie, wraz z końcem pracy wylogowanie się, że ktoś zdobędzie klucz jest naprawde niewielka - przynajmniej tak mówiły artykuły i podręczniki. Mimo wszystko czuję niedosyt. Czy na takim poziomie bezpieczeństwa można bazować? Oczywiście sprawdzam również takie rzeczy jak np. czy sesja jest wygenrowana przez mój system.