 Znów sesje... |
| Znów sesje... |
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 60 Pomógł: 0 Dołączył: 5.04.2003 Skąd: Warszawa Ostrzeżenie: (0%) 
 |
Moja autoryzacja na stronie wygląda tak:
1. przy logowaniu wysylam 2 cookiesy w jednym jest haslo a w drugim login 2. potem na kazdej stronce je czytam i sprawdzam w bazie Pytanie: Czy to jest bezpieczne? Pytanie2: Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura... Pytanie3 Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu. -------------------- "Dwie rzeczy są nieskończone: wszechświat i głupota ludzka. Co do tego pierwszego są jeszcze wątpliwości" - Albert Einstein
|
 |
 
|
 |
|
Post
#2
|
|
 Grupa: Przyjaciele php.pl Postów: 2 335 Pomógł: 6 Dołączył: 7.03.2002 Ostrzeżenie: (0%)
|
Cytat Czy to jest bezpieczne?
nie Cytat Czy lepiej byłoby na sesjach?
tak Cytat Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu.
tak |
|
|
|
|
Post
#3
|
|
 Grupa: Zarząd Postów: 2 277 Pomógł: 6 Dołączył: 27.12.2002 Skąd: Wołów/Wrocław |
Cytat Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura...
Przepraszam, a o co chodzi? -------------------- "Niezależnie od tego, jakie masz osiągnięcia, ktoś Ci pomaga..."
|
|
|
|
|
Post
#4
|
|
 Grupa: Przyjaciele php.pl Postów: 1 717 Pomógł: 0 Dołączył: 12.06.2002 Skąd: Wolsztyn..... Studia: Zielona Góra Ostrzeżenie: (0%)
|
Cytat Cytat Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura... Przepraszam, a o co chodzi? Pewnie o to, ze ktos moze "przypadkiem" wpisac sobie (w URL'u) ID sesji , ktore akurat jest uzywane przez kogos z wiekszymi uprawnieniami (np. admina). Wydaje mi sie, że jest to równie małoprawdopodobne co trafienie 6 w totka  Chyba, że ktoś zapusci maszyne, ktora "przeleci" przez wszystkie mozliwe ID, ale to zajeloby za duzo czasu to raz (wszakże wszystkich ID przy std ustawieniach jest jedyne 34^32 przy zalozeniu, ze liter w alfabecie jest 24), skoro robilby to automat to musialby wiedziec po czym odroznic strone w wersji zalogowanej od zwyklej i pewnie sa jeszcze jakies utrudnienia, ktore nie wpadly mi do glowy.
A jesli nawet az tak sie tego kolega woocash boi to mozna przy logowaniu wpisywac do sesji IP i potem przy sprawdzaniu sesji sprawdzac tez IP. Zawezi to grupe potencjalnych "hackerow" do jednej osoby (samego zalogowanego, ktory napewno zna haslo, wiec nie musi sie wlamywac ) lub calej podsieci zalogowanego jesli jest on za NAT'em (wtedy w razie znaleznienia "hackera" latwo wymierzyc mu samosad  ).
Gorzej, jak uzywa proxy ale skad potencjalny hacker bedzie wiedzial, ze jest sprawdzanie IP... a nawet jak sie domysli to skad bedzie wiedzial, ze zalogowany np. admin korzysta z proxy, a nawet jesli to bedzie musial jeszcze trafic te wlasciwe...
|
|
|
|
|
Post
#5
|
|
|
Grupa: Przyjaciele php.pl Postów: 2 335 Pomógł: 6 Dołączył: 7.03.2002 Ostrzeżenie: (0%)
|
Sesje sa jednym z najbezpieczniejszych sposobow przekazywania tego typu danych. w polaczeniu z SSL sa "teoretycznie" nie do obejscia. ID sesji mozesz przekazac przez DNS ale musisz miec dostep do ustawien servera. Mozesz nawet sam stworzyc sobie swoje id sesji z 100 znakowa wartoscia.
Jednak na sniffera na localnej nie ma mocnych poza SSL'em. |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 0 Dołączył: 5.04.2003 Skąd: Warszawa Ostrzeżenie: (0%)
|
Cytat Cytat Czy to jest bezpieczne?
nie Cytat Czy lepiej byłoby na sesjach?
tak Cytat Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu.
tak 1.Dlaczego to nie jest bezpieczne? 2.Nie odpowiedziałeś na mpje 3 pytanie : Czy plik sesji będzie usuwany np. po x min od utworzenia, czy też po x min od ostatniego odczytu? -------------------- "Dwie rzeczy są nieskończone: wszechświat i głupota ludzka. Co do tego pierwszego są jeszcze wątpliwości" - Albert Einstein
|
|
|
|
|
Post
#7
|
|
|
Grupa: Przyjaciele php.pl Postów: 2 335 Pomógł: 6 Dołączył: 7.03.2002 Ostrzeżenie: (0%)
|
Cytat 1.Dlaczego to nie jest bezpieczne?
Bo dane o hasle i loginie jezeli juz takowe pretrzymujesz w sesji, skladowane sa na serverze. Do ktorego masz dostep Ty. Natomiast Cookie skladowane sa na komputerze. Przypuscmy, ze ktos siedzi w kafejce. Jak odejdzie od komputera, wystarczy podejzec ciacho i mamy haslo. Po wylogowaniu z sesji nie da sie juz odczytac danych. Cytat 2.Nie odpowiedziałeś na mpje 3 pytanie :
Czy plik sesji będzie usuwany np. po x min od utworzenia, czy też po x min od ostatniego odczytu? Po x sekundach od utworzenia. Zajzyj do ustawien php. |
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 0 Dołączył: 5.04.2003 Skąd: Warszawa Ostrzeżenie: (0%)
|
Fajnie, tylko mamy problem...
1. Cookies u mnie są na 0 więc po wyłączeniu przeglądarki same się kasują nawet jak user sie nie wyloguje ... 2. Jeśli natomiast na sesji sie nie wyloguje user to jego dane zostana na serverze i przez jakis jeszcze czas mozna je przechwycic... 3. Na sesjach trzeba ten timeout ustawic co jest badziewne bo moze usera nagle po powiedzmy 30 min wylogowac. To jest jednak trochę wkurzające nie sądzisz? -------------------- "Dwie rzeczy są nieskończone: wszechświat i głupota ludzka. Co do tego pierwszego są jeszcze wątpliwości" - Albert Einstein
|
|
|
|
|
Post
#9
|
|
 Grupa: Zarząd Postów: 3 503 Pomógł: 28 Dołączył: 17.10.2002 Skąd: Wrocław |
30 minut bez odświerzenia strony? Mało prawdopodobne. Pozatym zawsze możesz w nagłówku strony wstawić skrypt JS, który np. na pasku stanu wyświetla
Cytat Twoja sesja wygaśnie za XX sekund Tak ma chyba interia na darmowych skrzynkach.
-------------------- |
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 0 Dołączył: 5.04.2003 Skąd: Warszawa Ostrzeżenie: (0%)
|
1.czyli po odświerzeniu sesja liczy się od nowa?
2. Ale tak czy siak jak masz cokies wyłączone to ktoś jak się nie wylogujesz może podejść w tej kafejce do kompa przejrzeć historię i z paska adresu wyciągnąć sessid -------------------- "Dwie rzeczy są nieskończone: wszechświat i głupota ludzka. Co do tego pierwszego są jeszcze wątpliwości" - Albert Einstein
|
|
|
|
|
Post
#11
|
|
|
Grupa: Przyjaciele php.pl Postów: 2 335 Pomógł: 6 Dołączył: 7.03.2002 Ostrzeżenie: (0%)
|
Cytat 1.czyli po odświerzeniu sesja liczy się od nowa?
Nie. Musisz stworzyc nowa. Cytat 2. Ale tak czy siak jak masz cokies wyłączone to ktoś jak się nie wylogujesz może podejść w tej kafejce do kompa przejrzeć historię i z paska adresu wyciągnąć sessid
Tylko wtedy gdy przekazujesz id sesji w URLu. |
|
|
|
|
Post
#12
|
|
|
Grupa: Zarejestrowani Postów: 60 Pomógł: 0 Dołączył: 5.04.2003 Skąd: Warszawa Ostrzeżenie: (0%)
|
No dobrze.
1.Adres w url mamy gdy koleś nie przyjmouje cookies. Natomiast w tej samej sytuacji jeśli korzystam z cookies a nie sesje on nie dostanie ich więc niema czego ukraść!
2. Przecież nie mogę nowej sesji zrobić bo będzie miała nowe id muszę kontynuować starą! -------------------- "Dwie rzeczy są nieskończone: wszechświat i głupota ludzka. Co do tego pierwszego są jeszcze wątpliwości" - Albert Einstein
|
|
|
|
 |
|
Aktualny czas: 19.08.2025 - 03:17 |
