[Grupy uzytkownikow][Poziomy dostepu] Czy bezpieczne jest przechowywanie informacji w sesji? Opcje

[deirathe]

Czy bezpieczne jest przechowywanie informacji o prawach dostepu danej grupy w sesji? Jak mozna rozwiazac przechowywanie informacji o prawach dostepu danej grupy, tak zeby miec do niej szybki dostep i zeby to bylo bezpieczne w ramach mozliwosci?

Ten post edytował deirathe 23.09.2008, 13:59:39

[marcio]

Chodzi ci o takie cos ze ze do sesji zapisujesz prawa z bazy ktore sa np:
1=user
2=mod
3=admin

Pewnie ze jest bezpieczne trzymanie tego nawet w cookie wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac

[dr_bonzo]

@marcio: pier***sz pan, jak takie cos mozna w ciastku czekac? i jak sprawdzisz ze user sam sobie nie wpisal ze jest adminen?

[Lethys]

@deirathe

Czemu po prostu nie bedziesz pobieral tych danych z bazy ?

[dr_bonzo]

1. w sesji mozesz trzymac "wszystko" o ile dane sesji sa trzymane na serwerze (w bazie, w plikach , itp)
2. jak bedziesz trzymal uprawnienia w sesji to jak stwierdzisz ze userowi zostaly one odebrane? i nie moze juz byc powiedzmy adminem?

[deirathe]

Dzieki wielkie, ja wymyslilem ze sstem ma moduly i kazdy modul sklada sie z klasy ktora jest dnamicznie tworzona jako obiekt w zaleznosci od tego co jest w url i ta klasa roszerza abstarkcyjna klase modulu, dziki czemu musi miec podstawowe metody a do pozostalych metod jest definicja ktora pozwala na nadanie praw czy grupa, uzytkownik moze wykonac danametode- i za to odpowiada klasa ModuleManager, ktora odpala moduly i metody w zaleznosci czy prawa grupy na to pozwalaja.
Czyli bede musial sesje przechowywac w db, a mocno to sie odbije na wydajnosci?


co do sesji to wiadomo ze z czasem wygasa powiedzmy po 10 min bezczynosci, i wtedy uprawnienia sa pobierane z tabeli od nowa i przechowywane w sesji tymczasowo

Ten post edytował deirathe 24.09.2008, 07:41:16

[marcio]

A jednak nie pier***e sam tak robie i jak narazie nikt sie nie wlamal poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy i cie wyloguje a jesli chcesz zmienic konto musisz znac kod user'a a jak sie wlamiesz albo zmienisz lvl(bez zadnych xss i sql inj o ile jeszcze takie sa w wyszukiwarce napewno bo w ogole jej nie poprawialem brak czasu) to zwroce honor, link posle ci na pw.

[dr_bonzo]

poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy

1. No to skoro i tak sprawdzasz dane w bazie to po co ci one w cookie?
2. Nie mowiles wczesniej ze sprawdzasz uprawnienia usera (" wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac"), tzn ja tego tak nie zrozumialem, potraktowalem to jako sprawdzenie np. czy takie uprawnienia a ogole istnieja itp.

Ten post edytował dr_bonzo 24.09.2008, 14:26:07

[marcio]

Aha to juz sobie wszystko wyjasnilismy nastepnym razem spróbuję byc bardziej zrozumialy

Ten post edytował batman 25.09.2008, 18:38:49

Powód edycji: nobody expects spanish inquisition