 Czy taki system sesji jest bezpieczny? |
| Czy taki system sesji jest bezpieczny? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 64 Pomógł: 14 Dołączył: 25.09.2010 Ostrzeżenie: (0%) 
 |
Witam, mam pyt odnośnie bezpieczeństwa mojego systemu sesji. Juz tlumacze na czym on polega. Uzytkownik loguje sie poprzez strone glowna w domena.pl - nast gdy dane sa poprawne do bazy serwera s1.domena.pl zostaje wpisany rekord w tabele session (ip usera, jego id uzytkownika w serwisie, dane przegladarki -> $_SERVER['HTTP_USER_AGENT'] - czas sesji). Nastepnie user zostaje przeniesiony na strone glowna s1.domena.pl, po czym plik index.php odpowiadajacy za cala strone pobiera rekord z tej tabeli session gdzie jest takie samo ip, taka sama przegladarka oraz gdzie czas jest > czasu aktualnego (wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min). Jezeli wszystko sie zgadza system pobiera dane o userze z tabeli users ( z pomoca id usera z tabeli session) i za kazdym odswiezeniem strony aktualizuje rekord sesji w session ustawiajac ponownie sesje wazna na 15 min (przez co mozna sprawdzic kiedy jest aktywny). I to chyba na tyle, prosilbym o jakies odpowiedzi czy jest to bezpieczne, a jesli nie jest to jakies male wytlumaczenie (IMG:style_emoticons/default/tongue.gif) z gory dzieki
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
Jeżeli włamywacz ma dostęp do serwera to żadne zabezpieczenia Ci nic nie dadzą. (IMG:style_emoticons/default/smile.gif)
Co do zmiany ścieżki - fakt, jest to niezwykle trudne. ^^ Zacznijmy od tego - jeżeli kradniemy sesje, to nie z serwera a komputera użyszkodnika. Jeżeli wykradniemy ID sesji, to nie ma różnicy czy było w cookie czy w pasku adresu bo dostęp prawdopodobnie będziemy mieli (nie licząc sprawdzania ip, przeglądarki) Poza tym, nie mieliśmy rozmawiać o wykradaniu sesji, lecz o zabezpieczeniach. |
|
|
|
Rochu Czy taki system sesji jest bezpieczny? 24.05.2011, 15:43:13 
CuteOne W teorii odradza się trzymanie sesji na serwerach ... 24.05.2011, 15:59:42 
Fifi209 Cytat(CuteOne @ 24.05.2011, 16:59:42 ... 24.05.2011, 17:50:01 CuteOne Cytat(Fifi209 @ 24.05.2011, 18:50:01 ... 25.05.2011, 01:06:31 Rid CytatW teorii odradza się trzymanie sesji na serwe... 25.05.2011, 00:03:08 Rid Nie wydaje mi się- po stronie serwera przechowywan... 25.05.2011, 01:10:07 CuteOne No a o czym ja mówię... hjacking 25.05.2011, 01:19:09 Rid Myśli Pan ,że będzie możliwy Session Hijacking,jak... 25.05.2011, 01:25:14 CuteOne Hmmm jak by Ci to wytłumaczyć.. załóżmy, że loguje... 25.05.2011, 05:55:50 Rid CytatI SSL nie ma tu co robić ponieważ nie przechw... 25.05.2011, 13:29:56 nekomata @up ... chyba niedoczytałeś co ten firesheep robi ... 25.05.2011, 14:12:23 CuteOne Rid: ja nie mówię o podsłuchach... tylko wykradnię... 25.05.2011, 14:48:45 Fifi209 Cytat(CuteOne @ 25.05.2011, 15:48:45 ... 25.05.2011, 15:23:12 nekomata Zmienne IP eliminuje możliwość? Czy ja wiem ? Możn... 25.05.2011, 15:22:55 nekomata Może zsumujmy co robimy do zabezpieczenia sesji , ... 25.05.2011, 16:37:35 Rid Ja bym jeszcze do wyżej wymienionego postu dodał:
... 25.05.2011, 17:22:48  |
|
Aktualny czas: 8.10.2025 - 12:41 |
