 Czy taki system sesji jest bezpieczny? |
| Czy taki system sesji jest bezpieczny? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 64 Pomógł: 14 Dołączył: 25.09.2010 Ostrzeżenie: (0%) 
 |
Witam, mam pyt odnośnie bezpieczeństwa mojego systemu sesji. Juz tlumacze na czym on polega. Uzytkownik loguje sie poprzez strone glowna w domena.pl - nast gdy dane sa poprawne do bazy serwera s1.domena.pl zostaje wpisany rekord w tabele session (ip usera, jego id uzytkownika w serwisie, dane przegladarki -> $_SERVER['HTTP_USER_AGENT'] - czas sesji). Nastepnie user zostaje przeniesiony na strone glowna s1.domena.pl, po czym plik index.php odpowiadajacy za cala strone pobiera rekord z tej tabeli session gdzie jest takie samo ip, taka sama przegladarka oraz gdzie czas jest > czasu aktualnego (wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min). Jezeli wszystko sie zgadza system pobiera dane o userze z tabeli users ( z pomoca id usera z tabeli session) i za kazdym odswiezeniem strony aktualizuje rekord sesji w session ustawiajac ponownie sesje wazna na 15 min (przez co mozna sprawdzic kiedy jest aktywny). I to chyba na tyle, prosilbym o jakies odpowiedzi czy jest to bezpieczne, a jesli nie jest to jakies male wytlumaczenie (IMG:style_emoticons/default/tongue.gif) z gory dzieki
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 314 Pomógł: 44 Dołączył: 12.11.2010 Skąd: UK Ostrzeżenie: (0%)
|
Może zsumujmy co robimy do zabezpieczenia sesji , według mnie to :
1.Blokujemy XSS (javascripty w postach itd ,podstawa ale warto wymienić) 2.Sprawdzanie User Agent'a : jeśli user agent inny niż w poprzedniej sesji -> niszczymy. 3.Sprawdzanie IP użytkownika : jeśli inne -> wyrzucamy monit i ponowne wpisanie hasła . 4.Zmieniamy folder zapisu sesji (własny session handler albo session_save_path ) To by chyba było na tyle? @autor topic'u Cytat wczesniej czas sesji zostal zapisany time() + 900 czyli na 15 min jeśli nie zmienisz domyślnego czasu sesji (10 minut) to może gdzieś się skrypt wywalić .
Ten post edytował nekomata 25.05.2011, 16:38:37 |
|
|
|
Rochu Czy taki system sesji jest bezpieczny? 24.05.2011, 15:43:13 
CuteOne W teorii odradza się trzymanie sesji na serwerach ... 24.05.2011, 15:59:42 
Fifi209 Cytat(CuteOne @ 24.05.2011, 16:59:42 ... 24.05.2011, 17:50:01 CuteOne Cytat(Fifi209 @ 24.05.2011, 18:50:01 ... 25.05.2011, 01:06:31 Rid CytatW teorii odradza się trzymanie sesji na serwe... 25.05.2011, 00:03:08 Rid Nie wydaje mi się- po stronie serwera przechowywan... 25.05.2011, 01:10:07 CuteOne No a o czym ja mówię... hjacking 25.05.2011, 01:19:09 Rid Myśli Pan ,że będzie możliwy Session Hijacking,jak... 25.05.2011, 01:25:14 CuteOne Hmmm jak by Ci to wytłumaczyć.. załóżmy, że loguje... 25.05.2011, 05:55:50 Fifi209 Jeżeli włamywacz ma dostęp do serwera to żadne zab... 25.05.2011, 07:32:21 Rid CytatI SSL nie ma tu co robić ponieważ nie przechw... 25.05.2011, 13:29:56 nekomata @up ... chyba niedoczytałeś co ten firesheep robi ... 25.05.2011, 14:12:23 CuteOne Rid: ja nie mówię o podsłuchach... tylko wykradnię... 25.05.2011, 14:48:45 Fifi209 Cytat(CuteOne @ 25.05.2011, 15:48:45 ... 25.05.2011, 15:23:12 nekomata Zmienne IP eliminuje możliwość? Czy ja wiem ? Możn... 25.05.2011, 15:22:55 Rid Ja bym jeszcze do wyżej wymienionego postu dodał:
... 25.05.2011, 17:22:48  |
|
Aktualny czas: 27.12.2025 - 11:38 |
