 Czy taki system sesji jest bezpieczny? |
| Czy taki system sesji jest bezpieczny? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 64 Pomógł: 14 Dołączył: 25.09.2010 Ostrzeżenie: (0%) 
 |
Witam, mam pyt odnośnie bezpieczeństwa mojego systemu sesji. Juz tlumacze na czym on polega. Uzytkownik loguje sie poprzez strone glowna w domena.pl - nast gdy dane sa poprawne do bazy serwera s1.domena.pl zostaje wpisany rekord w tabele session (ip usera, jego id uzytkownika w serwisie, dane przegladarki -> $_SERVER['HTTP_USER_AGENT'] - czas sesji). Nastepnie user zostaje przeniesiony na strone glowna s1.domena.pl, po czym plik index.php odpowiadajacy za cala strone pobiera rekord z tej tabeli session gdzie jest takie samo ip, taka sama przegladarka oraz gdzie czas jest > czasu aktualnego (wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min). Jezeli wszystko sie zgadza system pobiera dane o userze z tabeli users ( z pomoca id usera z tabeli session) i za kazdym odswiezeniem strony aktualizuje rekord sesji w session ustawiajac ponownie sesje wazna na 15 min (przez co mozna sprawdzic kiedy jest aktywny). I to chyba na tyle, prosilbym o jakies odpowiedzi czy jest to bezpieczne, a jesli nie jest to jakies male wytlumaczenie (IMG:style_emoticons/default/tongue.gif) z gory dzieki
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 314 Pomógł: 44 Dołączył: 12.11.2010 Skąd: UK Ostrzeżenie: (0%)
|
@up ... chyba niedoczytałeś co ten firesheep robi .
Cytat Firesheep to dodatek do Firefoksa, który w prosty sposób automatyzuje kradzież ciastek i podszywanie się pod przechwycone sesje — wystarczy podłączyć się do otwartego Wi-Fi (np. w jakiejś galerii handlowej) Czyli to jest po prostu sniffer , to nie problem naszego skryptu bo ktoś może mieć cały batalion , a sprawdzanie IP w tym przypadku nie pomoże .. bo łączymy się przez to samo Wi-Fi . Ale sprawdzenie useragenta już może dać jakiś efekt co nie? |
|
|
|
Rochu Czy taki system sesji jest bezpieczny? 24.05.2011, 15:43:13 
CuteOne W teorii odradza się trzymanie sesji na serwerach ... 24.05.2011, 15:59:42 
Fifi209 Cytat(CuteOne @ 24.05.2011, 16:59:42 ... 24.05.2011, 17:50:01 CuteOne Cytat(Fifi209 @ 24.05.2011, 18:50:01 ... 25.05.2011, 01:06:31 Rid CytatW teorii odradza się trzymanie sesji na serwe... 25.05.2011, 00:03:08 Rid Nie wydaje mi się- po stronie serwera przechowywan... 25.05.2011, 01:10:07 CuteOne No a o czym ja mówię... hjacking 25.05.2011, 01:19:09 Rid Myśli Pan ,że będzie możliwy Session Hijacking,jak... 25.05.2011, 01:25:14 CuteOne Hmmm jak by Ci to wytłumaczyć.. załóżmy, że loguje... 25.05.2011, 05:55:50 Fifi209 Jeżeli włamywacz ma dostęp do serwera to żadne zab... 25.05.2011, 07:32:21 Rid CytatI SSL nie ma tu co robić ponieważ nie przechw... 25.05.2011, 13:29:56 CuteOne Rid: ja nie mówię o podsłuchach... tylko wykradnię... 25.05.2011, 14:48:45 Fifi209 Cytat(CuteOne @ 25.05.2011, 15:48:45 ... 25.05.2011, 15:23:12 nekomata Zmienne IP eliminuje możliwość? Czy ja wiem ? Możn... 25.05.2011, 15:22:55 nekomata Może zsumujmy co robimy do zabezpieczenia sesji , ... 25.05.2011, 16:37:35 Rid Ja bym jeszcze do wyżej wymienionego postu dodał:
... 25.05.2011, 17:22:48  |
|
Aktualny czas: 5.10.2025 - 10:37 |
