[PHP] Sesje i logowanie Opcje

[rja]

Witam,
Jak duże znaczenie ma dla potencjalnego włamywacza na "tajną stronę" informacja że nazwa sesji to "zalogowany" a wartość ="tak", (czyli jak w wielu przykładach $_SESSION['zalogowany']="tak")

Czy to raczej nie ma znaczenia jaka będzie wartość i nazwa, czy też zamiast "tak" podawać ciąg różnych wymieszanych znaków ?

[MajareQ]

Słyszał o session fixation? Zapraszam na Jogger albiego -> http://albi.vxe.pl/2008/02/29/session-fixation/
Po za tym zapraszam do zapoznania się z atakami Session injection oraz Session poisoning.

[rja]

Chodzi mi o sytuacje kiedy dostęp do tajnych stron następuje po zalogowaniu. Login i hasło są oczywiście w bazie danych i dane te nie są wykorzystywane w żadnej sesji. Sesja "zalogowany" jest generowana po poprawnym zalogowaniu i służy do sprawdzania na kolejnych podstronach.

Jeżeli włamywacz nie zna loginu ani hasła, nie ma dostępu do folderu z z sesjami, nie zna ID sesji to chyba nie ma znaczenia jak ta sesja będzie się nazywać.?

Tym bardziej chyba nie ma znaczenia jeżeli dostanie się do folderu z sesjami bo wtedy łatwo sobie odczyta co w niej jest.

[MajareQ]

Na Twoim miejscu upewniłbym się czy masz dobrze zabezpieczone system logowanie przed session fixation. Dalej - nie widzę problemów.

[kacka]

Nazwa sesji nie ma wielkiego znaczenia, chyba że w kodzie strony występuje błąd Session poisoning, wtedy znając nazwę i wartość szybko zostajemy zalogowani jako admin.

Patrz: http://anakin.us/blog/php-bezpieczne-programowanie/