 Zadbać o swoje sesje, czyli o bezpieczeństwie nieco :) |
  |
| Zadbać o swoje sesje, czyli o bezpieczeństwie nieco :) |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 39 Pomógł: 2 Dołączył: 11.08.2007 Ostrzeżenie: (0%) 
 |
Witam serdecznie!
Po przewertowaniu dziesiątek artykułów i nie tylko, wciąż męczy mnie jedna kwestia. Co jeżeli ktoś pozna ID sesji, czy session_regenerate_id(true) ma tutaj jakieś znaczenie? Np. user pójdzie sobie na obiad i wtym momencie ktos buchie mu SID i włamując się na konto innego usera przeładuje strone. regeneracja id nada wtedy nowe ID ale do kogo? Nie moge zrozumieć tej jednej rzeczy. Wydaje mi sie, że utrata SID to juz kaplica, prawda (IMG:style_emoticons/default/snitch.gif) ? Czytając na ten temat często spotykałem się z opinią, że ładowanie sesji do bazy jest genialnym pomysłem. To wciąż jest id sesji tyle ze w bazie a nie w pliku. Lepsza administracja ale wieksze obciążenie. Pytam o sytuację - cookie u usera, a nie w pasku url, + SSL. Pozdrawiam, Robert Ten post edytował Solimo 11.09.2009, 08:58:56 |
 |
 
|
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 258 Pomógł: 17 Dołączył: 22.05.2007 Ostrzeżenie: (0%)
|
Cytat Po przewertowaniu dziesiątek artykułów i nie tylko, wciąż męczy mnie jedna kwestia. Co jeżeli ktoś pozna ID sesji, czy session_regenerate_id(true) ma tutaj jakieś znaczenie? Tak - user który bedzie mial starego sida zostnanie wylogowany (IMG:style_emoticons/default/winksmiley.jpg) Cytat Np. user pójdzie sobie na obiad i wtym momencie ktos buchie mu SID i włamując się na konto innego usera przeładuje strone. regeneracja id nada wtedy nowe ID ale do kogo? Dla osoby która wykona jakis request do serwera - czyli jesli user je biad to faktycznie bedzie to napastnik Cytat Nie moge zrozumieć tej jednej rzeczy. Wydaje mi sie, że utrata SID to juz kaplica, prawda Niekoniecznie - mozesz jeszcze rejestrowac wersje przegladarki, ip, etc Cytat Czytając na ten temat często spotykałem się z opinią, że ładowanie sesji do bazy jest genialnym pomysłem. To wciąż jest id sesji tyle ze w bazie a nie w pliku. Lepsza administracja ale wieksze obciążenie. To ma tylko zastosowanie w przypadku sharedhosting - pliki z sesjami wszystkich strona na danym serwerze sa trzyamane w jednym folderze i kazdy ma do nich dostep. Miejsce przechowywania tych plikow mozesz zmienic jesli admin pozwoli |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)
|
Cytat(mrok @ 11.09.2009, 10:07:49 )  mozesz zmienic jesli admin pozwoli session.save_path "" PHP_INI_ALL Możesz zmienić w dowolnym momencie. |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 39 Pomógł: 2 Dołączył: 11.08.2007 Ostrzeżenie: (0%)
|
Cytat Niekoniecznie - mozesz jeszcze rejestrowac wersje przegladarki, ip, etc Tak oczwiście to robię. Jednak szansa na to, o ile sesja ma rozsądny czas życi, niegłupi algorytm sid oraz użytkownik nie zawini - np. ciastkowy robak w systemie, wraz z końcem pracy wylogowanie się, że ktoś zdobędzie klucz jest naprawde niewielka - przynajmniej tak mówiły artykuły i podręczniki. Mimo wszystko czuję niedosyt. Czy na takim poziomie bezpieczeństwa można bazować? Oczywiście sprawdzam również takie rzeczy jak np. czy sesja jest wygenrowana przez mój system. |
|
|
|
|
Post
#5
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
A może byś tak zajrzał z łaski swojej do przyklejonego wątku o bezpieczeństwie?
|
|
|
|
|
|
Aktualny czas: 23.08.2025 - 17:51 |
