 Czy taki system sesji jest bezpieczny? |
| Czy taki system sesji jest bezpieczny? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 64 Pomógł: 14 Dołączył: 25.09.2010 Ostrzeżenie: (0%) 
 |
Witam, mam pyt odnośnie bezpieczeństwa mojego systemu sesji. Juz tlumacze na czym on polega. Uzytkownik loguje sie poprzez strone glowna w domena.pl - nast gdy dane sa poprawne do bazy serwera s1.domena.pl zostaje wpisany rekord w tabele session (ip usera, jego id uzytkownika w serwisie, dane przegladarki -> $_SERVER['HTTP_USER_AGENT'] - czas sesji). Nastepnie user zostaje przeniesiony na strone glowna s1.domena.pl, po czym plik index.php odpowiadajacy za cala strone pobiera rekord z tej tabeli session gdzie jest takie samo ip, taka sama przegladarka oraz gdzie czas jest > czasu aktualnego (wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min). Jezeli wszystko sie zgadza system pobiera dane o userze z tabeli users ( z pomoca id usera z tabeli session) i za kazdym odswiezeniem strony aktualizuje rekord sesji w session ustawiajac ponownie sesje wazna na 15 min (przez co mozna sprawdzic kiedy jest aktywny). I to chyba na tyle, prosilbym o jakies odpowiedzi czy jest to bezpieczne, a jesli nie jest to jakies male wytlumaczenie (IMG:style_emoticons/default/tongue.gif) z gory dzieki
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 2 958 Pomógł: 574 Dołączył: 23.09.2008 Skąd: wiesz, że tu jestem? Ostrzeżenie: (0%)
|
W teorii odradza się trzymanie sesji na serwerach współdzielonych - ktoś może przechwycić twoje sesje. Ile w tym prawdy nie wiem - sam od dawna używam tylko cookie i bazy danych. Daje mi to większe pole manewru niż "zwykłe" sesje np. zamkniecie przeglądarki nie powoduje wylogowania no i z bezpieczeństwem też nigdy nie miałem problemów.
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
Cytat(CuteOne @ 24.05.2011, 16:59:42 )  W teorii odradza się trzymanie sesji na serwerach współdzielonych - ktoś może przechwycić twoje sesje. Ile w tym prawdy nie wiem Był ten temat poruszany, choćby zmienić ścieżkę gdzie będą trzymane pliki sesji. Cytat(CuteOne @ 24.05.2011, 16:59:42 ) Daje mi to większe pole manewru niż "zwykłe" sesje np. zamkniecie przeglądarki nie powoduje wylogowania A od kiedy sesje z php przy zamknięciu się tracą, zakładając że cookie nie są usuwane? Cytat(CuteOne @ 24.05.2011, 16:59:42 ) no i z bezpieczeństwem też nigdy nie miałem problemów. Nie ma kodu, nie ma o czym dyskutować. Możesz się pochwalić jak zabezpieczyłeś. ;] |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 2 958 Pomógł: 574 Dołączył: 23.09.2008 Skąd: wiesz, że tu jestem? Ostrzeżenie: (0%)
|
Cytat(Fifi209 @ 24.05.2011, 18:50:01 ) Był ten temat poruszany, choćby zmienić ścieżkę gdzie będą trzymane pliki sesji. No i teraz wyobraź sobie początkującego programistę, który ustawi ścieżkę na folder główny strony i jej odpowiednio nie zabezpieczy (IMG:style_emoticons/default/smile.gif) Co jest bardziej niż bardzo prawdopodobne Cytat(Fifi209 @ 24.05.2011, 18:50:01 ) A od kiedy sesje z php przy zamknięciu się tracą, zakładając że cookie nie są usuwane? Nie mówię o cookie tylko o "zwykłych" sesjach [dla jasności ;P session_start, session_close]. Nie wiem jak u Ciebie ale ja po restarcie przeglądarki muszę się logować na serwisy, które nie korzystają z cookie (IMG:style_emoticons/default/smile.gif) Cytat(Fifi209 @ 24.05.2011, 18:50:01 ) Nie ma kodu, nie ma o czym dyskutować. Możesz się pochwalić jak zabezpieczyłeś. ;] Hehe to się szantaż emocjonalny nazywa (IMG:style_emoticons/default/smile.gif) ogólnie to nic szczególnego.. zebranie wszystkich "rad i zaleceń" w jedno. No i jak dotąd nie miałem problemów z włamaniami itp. Rid: tylko jest pewna różnica między zespołem pracującym w allegro a ludźmi odwiedzającymi to forum ;] zwie się doświadczenie Cytat A pro po tematu , sesje można także trzymać w bazie danych ,trochę bezpieczniejsze niż tradycyjna metoda. Mylisz pojęcia.. pliki sesji nadal istnieją na serwerze nawet jeżeli ich "odpowiednik"(nie wiem jak to nazwać) trzymasz w bazie Ten post edytował CuteOne 25.05.2011, 01:07:30 |
|
|
|
Rochu Czy taki system sesji jest bezpieczny? 24.05.2011, 15:43:13 
Rid CytatW teorii odradza się trzymanie sesji na serwe... 25.05.2011, 00:03:08 Rid Nie wydaje mi się- po stronie serwera przechowywan... 25.05.2011, 01:10:07 CuteOne No a o czym ja mówię... hjacking 25.05.2011, 01:19:09 Rid Myśli Pan ,że będzie możliwy Session Hijacking,jak... 25.05.2011, 01:25:14 CuteOne Hmmm jak by Ci to wytłumaczyć.. załóżmy, że loguje... 25.05.2011, 05:55:50 Fifi209 Jeżeli włamywacz ma dostęp do serwera to żadne zab... 25.05.2011, 07:32:21 Rid CytatI SSL nie ma tu co robić ponieważ nie przechw... 25.05.2011, 13:29:56 nekomata @up ... chyba niedoczytałeś co ten firesheep robi ... 25.05.2011, 14:12:23 CuteOne Rid: ja nie mówię o podsłuchach... tylko wykradnię... 25.05.2011, 14:48:45 
Fifi209 Cytat(CuteOne @ 25.05.2011, 15:48:45 ... 25.05.2011, 15:23:12 nekomata Zmienne IP eliminuje możliwość? Czy ja wiem ? Możn... 25.05.2011, 15:22:55 nekomata Może zsumujmy co robimy do zabezpieczenia sesji , ... 25.05.2011, 16:37:35 Rid Ja bym jeszcze do wyżej wymienionego postu dodał:
... 25.05.2011, 17:22:48  |
|
Aktualny czas: 27.12.2025 - 22:23 |
