 Czy taki system sesji jest bezpieczny? |
| Czy taki system sesji jest bezpieczny? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 64 Pomógł: 14 Dołączył: 25.09.2010 Ostrzeżenie: (0%) 
 |
Witam, mam pyt odnośnie bezpieczeństwa mojego systemu sesji. Juz tlumacze na czym on polega. Uzytkownik loguje sie poprzez strone glowna w domena.pl - nast gdy dane sa poprawne do bazy serwera s1.domena.pl zostaje wpisany rekord w tabele session (ip usera, jego id uzytkownika w serwisie, dane przegladarki -> $_SERVER['HTTP_USER_AGENT'] - czas sesji). Nastepnie user zostaje przeniesiony na strone glowna s1.domena.pl, po czym plik index.php odpowiadajacy za cala strone pobiera rekord z tej tabeli session gdzie jest takie samo ip, taka sama przegladarka oraz gdzie czas jest > czasu aktualnego (wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min). Jezeli wszystko sie zgadza system pobiera dane o userze z tabeli users ( z pomoca id usera z tabeli session) i za kazdym odswiezeniem strony aktualizuje rekord sesji w session ustawiajac ponownie sesje wazna na 15 min (przez co mozna sprawdzic kiedy jest aktywny). I to chyba na tyle, prosilbym o jakies odpowiedzi czy jest to bezpieczne, a jesli nie jest to jakies male wytlumaczenie (IMG:style_emoticons/default/tongue.gif) z gory dzieki
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 715 Pomógł: 47 Dołączył: 5.12.2010 Ostrzeżenie: (0%)
|
Cytat I SSL nie ma tu co robić ponieważ nie przechwytuję request'a tylko biorę gotowca z serwera Ja proponuję artykuł na ten temat: http://niebezpiecznik.pl/post/firesheep-fi...ataki-na-sesje/ A jak ktoś ,nie jest pewny bezpieczeństwa SSL to może jeszcze skorzystać z IPSec-i myśle ,że raczej przechwycenie sesji nie będzie możliwe. Cytat Poza tym, nie mieliśmy rozmawiać o wykradaniu sesji, lecz o zabezpieczeniach A czym jest SSL?(IMG:style_emoticons/default/questionmark.gif) ? |
|
|
|
Rochu Czy taki system sesji jest bezpieczny? 24.05.2011, 15:43:13 
CuteOne W teorii odradza się trzymanie sesji na serwerach ... 24.05.2011, 15:59:42 
Fifi209 Cytat(CuteOne @ 24.05.2011, 16:59:42 ... 24.05.2011, 17:50:01 CuteOne Cytat(Fifi209 @ 24.05.2011, 18:50:01 ... 25.05.2011, 01:06:31 Rid CytatW teorii odradza się trzymanie sesji na serwe... 25.05.2011, 00:03:08 Rid Nie wydaje mi się- po stronie serwera przechowywan... 25.05.2011, 01:10:07 CuteOne No a o czym ja mówię... hjacking 25.05.2011, 01:19:09 Rid Myśli Pan ,że będzie możliwy Session Hijacking,jak... 25.05.2011, 01:25:14 CuteOne Hmmm jak by Ci to wytłumaczyć.. załóżmy, że loguje... 25.05.2011, 05:55:50 Fifi209 Jeżeli włamywacz ma dostęp do serwera to żadne zab... 25.05.2011, 07:32:21 nekomata @up ... chyba niedoczytałeś co ten firesheep robi ... 25.05.2011, 14:12:23 CuteOne Rid: ja nie mówię o podsłuchach... tylko wykradnię... 25.05.2011, 14:48:45 Fifi209 Cytat(CuteOne @ 25.05.2011, 15:48:45 ... 25.05.2011, 15:23:12 nekomata Zmienne IP eliminuje możliwość? Czy ja wiem ? Możn... 25.05.2011, 15:22:55 nekomata Może zsumujmy co robimy do zabezpieczenia sesji , ... 25.05.2011, 16:37:35 Rid Ja bym jeszcze do wyżej wymienionego postu dodał:
... 25.05.2011, 17:22:48  |
|
Aktualny czas: 4.10.2025 - 08:44 |
