[PHP] Bezpieczeństwo sesji, coś poprawić? Opcje

[chormi]

Witam buduję swoją aplikację. Staram się utrudnić życie kombinatorom.

Pseudokod:

[PHP] pobierz, plaintext 
 
	// ktoś wchodzi na strone.
 
	stworzenie_sesji()
	{
		- generowanie keya sesji
		- zapis do bazy (userid=0, useragent, ip) // niezalogowany userid 0
		- zapis id rekordu z tabeli sesji do 'sid' w SESSION
		- zapis keya w SESSION
	}
 
	jako niezalogowany
	{
		stworzenie_sesji();
		nakaz_zalogowania();
	}
 
	logowanie()
	{
		- zmodyfikowanie keya sesji
		- zapis keya w SESSION
	}
 
	jako zalogowany
	{
		pobranie danych z tabeli sesji - rekord o 'sid'
 
		porównanie:
		- klucza zapisanego w sesji
		- adresu ip
		- useragent
		z rekordem w tabeli sesji
 
		jeżeli któreś z powyższych się nie zgadza
		{
			niszczenie sesji
			usuwanie wpisu sesji z tabeli
			nakaz_zalogowania();
		}			
	}
 
[PHP] pobierz, plaintext 

W sesji php trzymam tylko:

'sid' czyli id rekordu z tabeli sesji
skey czyli unikalny identyfikator sesji taki sam zapisywany jest w rekordzie sesji

Sessionid trzymane i przekazywane tylko w ciastku.
Zmiana sessionid przez session_regenerate_id.

Rozmyślałem też nad trzymaniem ip,useragent i userid w sesji żeby rzadziej korzystać z tabeli sesji.

Coś poprawić? Jakieś sugestie?

Ten post edytował chormi 23.03.2013, 11:59:16

[StrefaPi]

UserAgent nie jest żadnym zabezpieczeniem... Jak dla mnie zabiera tylko miejsce... ;)

Ten post edytował StrefaPi 22.03.2013, 23:58:27

[chormi]

UserAgent nie jest żadnym zabezpieczeniem...

Wiem ale w połączeniu z porównywaniem ip i ciągu generowanego przy starcie sesji, zalogowaniu i porównywaniu go z ciągiem zapisanym w tabeli sesji już chyba lepiej? Mówcie co można ulepszyć w logice.

[Damonsson]

Oczywiście, że jest.

[StrefaPi]

Tylko po co?

[Damonsson]

Jest kolejnym elementem układanki, którą trzeba ułożyć w całość, żeby wygrać, a im więcej elementów tym trudniej/dłużej. Choć oczywiście jest to prowizoryczne, jednak jest.

[StrefaPi]

Akurat to ten najłatwiejszy element, który moim zdaniem najwięcej zajmuje... EOT

[chormi]

Załóżmy, że obaj userzy mają najnowszego ff i autoupdate. Wtedy rzeczywiśćie identyfikacja przez UA leży.

Nic się nie dowiedziałem.

Odświeżam.

// edit.

Jesteście zajebiście pomocni. Nic się nie dowiedziałem. Nie mam pojęcia po co w ogóle ten dział istnieje.

Ten post edytował chormi 23.03.2013, 12:23:31

[!*!]

Jesteście zajebiście pomocni. Nic się nie dowiedziałem. Nie mam pojęcia po co w ogóle ten dział istnieje.

Trudno, aby w mechanizmie sesji tworzyć coś nowego, jakbyś poświęcił 5 sekund na użycie wyszukiwarki, zobaczyłbyś "kilka" postów z tym związanych, w których, wypowiedzi użytkowników forum wyczerpały temat.
A w Twoim kodzie, nie zauważyłem "czasu".

Ten post edytował !*! 23.03.2013, 12:30:53

[Fifi209]

Załóżmy, że obaj userzy mają najnowszego ff i autoupdate. Wtedy rzeczywiśćie identyfikacja przez UA leży.

Mogą mieć systemy inne, inne wersje samego systemu 32 i 64 bit a czasami też to jest pokazane.

Można też dodać:
$_SERVER['HTTP_ACCEPT_LANGUAGE']

etc.

Wystarczy wyprintować sobie $_SERVER na różnych przeglądarkach i zobaczyć co się zmienia.

[StrefaPi]

może jeszcze sprawdźmy jaką mają rozdzielczość ekranu... jak już pisano wyżej - to jest kolejne zabezpiecznie... tylko czasem po co to robić... ;)

btw. włączony autoupdate nic nie daje, to nie o to chodzi w tym... Safari w narzędziach dla Developerów ma możliwość w menu wpisania w User Agent czegokolwiek i będzie wszystko działało...

[chormi]

Ok. co ile regenerować id sesji po określonej liczbie żądań czy co jakiś czas np. 3 min?

[markonix]

może jeszcze sprawdźmy jaką mają rozdzielczość ekranu...

Nie wiedziałem, że takie rzeczy da się wyczytać z poziomu PHP

[Fifi209]

Nie wiedziałem, że takie rzeczy da się wyczytać z poziomu PHP

Nie z poziomu php ale można tego użyć, odczytywać js, ajaxem przesyłać i już

[markonix]

Nie z poziomu php ale można tego użyć, odczytywać js, ajaxem przesyłać i już

Wiem, jak i wiele innych zmiennych środowiskowych, ale sesja to PHP, a takie rzeczy to już jak dla mnie bardziej pod everocookie podchodzą.
Sesja powinna działać niezmiennie w różnych urządzeniach (brak javascriptu, wyłączony).

[Fifi209]

No to albo masz dodatkowo rozdzielczość albo nie masz, jak nie masz to omijasz ten warunek. Kto normalny teraz wyłącza js?

[markonix]

Ja i 2 miliony użytkowników firefox.

btw. i co? proponujesz w tablicy bazodanowej z sesją dodatkową kolumnę "resolution"?

Ten post edytował markonix 23.03.2013, 20:07:27

[StrefaPi]

ojej lol - o rozdzielczości napisałem to w ramach żartu na temat przesadności takich zabezpieczeń...
ogólnie jestem przeciwny nawet zapisywaniu UserAgent jako wyznacznika użytkownika... ;) co chyba jasno wynikało z tego tematu...

ps. "normalny" użytkownik internetu nie wyłącza js bo facebook nie działa wtedy... 2 milinoy użytkowników Firefoxa to mniej niż 0,5% wszystkich użytkowników Firefoxa (tylko Firefoxa)

Ten post edytował StrefaPi 23.03.2013, 20:47:30

[!*!]

Ok. co ile regenerować id sesji po określonej liczbie żądań czy co jakiś czas np. 3 min?

I jedno i drugie. Choć sprawdzanie czy jest ok co 3 min może być kłopotliwe, w zależności od serwisu.

[pyro]

Ja i 2 miliony użytkowników firefox.

To że wtyczka ściągnięta i zainstalowana - nie znaczy że używana. Poza tym to jest chyba licznik ściągnięć, a jak każdy ściąga po kilka razy.... no to się robi malutki procent użytkowników rzeczywiście używających danej wtyczki . Też mam NoScript, ale używam jej tylko do analizy podejrzanych aplikacji.

Nie wyobrażam sobie surfowania po internecie bez JS. To tak jakby wbić sobie gwóźdź w kolano i iść na spacer. Niby można, ale... (zwłaszcza że JS / AJAX się bardzo teraz rozwija)