 [PHP]Session Fixation |
| [PHP]Session Fixation |
| --MarekK-- |
Post
#1
|
|
Goście  |
Witam.
Mam problem ze zrozumieniem problemu wiec postaram się go przedstawić. Mam aplikację a w niej sekcję odpowiedzalną za bezpieczeństwo dokladnie za kontrole Sesji. W ramach obrony przed Session Fixation stosuje prosty skrypt
I teraz wcielam się w "tego złego" i próbuję namieszać. Tworzę stronę która generuje mi ciasteczko do tej witryny z losowym SSID daje link do strony dla "ofiary" (ja nią jestem) następnie "ofiara" loguję się do aplikacji i....? Moje zaskoczenie session_regenerate_id(); działa jak należy tworzony jest nowy SSID ale... po każdym odświeżeniu strony użytkownik musi znowu się logować gdyż w jego plikach coockie's jest złośliwe ciasteczko z przygotowanym SSID i np będzie ono istnieć tydzień. Przez tydzień nieszczęsliwy użytkownik ma problemy z korzystania z mojego serwisu bo...? co odświeży stronę to musi się znowu logować (jego sesja zostaje zniszczona przez session_regenerate_id();. Pytanie do Was co można zrobić żeby uniknąć takiej sytuacji ? |
 |
 
|
-MarekK- [PHP]Session Fixation 3.03.2013, 23:28:39 
nospor Po pierwsze: kod co tu pokazałeś nie zabezpiecza p... 4.03.2013, 08:13:28 -MarekK- Okej jedziemy jeszcze raz...
Mamy sobie system lo... 4.03.2013, 09:03:38 nospor Strona B nie jest wstanie stworzyć ciasteczka dla ... 4.03.2013, 09:09:57 -MarekK- A propo Session Fixation
[PHP]if (!isset(... 4.03.2013, 09:19:24 nospor Jak już tak cytujesz tę wiki to proszę:
CytatOne w... 4.03.2013, 09:35:56 -MarekK- Dziękuję za wszystkie odpowiedzi. Rozjaśniło mi si... 4.03.2013, 09:40:37 
nospor Cytatjeśli troche Pana poirytowałem.Czy wyglądam n... 4.03.2013, 09:44:24   |
|
Aktualny czas: 22.08.2025 - 10:57 |
