Zabezpieczenie plików z /admin/* Opcje

[di_kamilo]

Ostatnio biore się za pisanie panelu admina do cms, którego jeszze nie ma Najpierw chcę napisać admina potem cms.

No więc do rzeczy, jak zabezpieczyć pliki odpowiedzialne za adminowaine serwisem ?
np. www..../admin/addnews.php

Logowanie do admina bedzie na sesjach z bazy. Jeżeli w pliku addnews.php zamieszcze funckje sprawdzające zmieną sesyjną np z nazwa użytkownika, i jeżeli zmienna będzie pusta to nie pozwoli na dostęp. Oczywiście o zawartości tej zmiennej będzie już decydował sam plik index.php w którym będzie logowanie. Czy takie coś ma szanse przetrwania i będzie spełniało rolę zabezpieczenia ?

Może macie inne pomysły na zabezpieczenie tych plikow ?

[TomASS]

Jeśli polegasz tylko na sesji to ja nie widzę najmniejszego problemu - jakbyś się bawił jeszcze w ciasteczka to mógłbyś mieć problem. Ja panel administratora mam tylko na sesjiach, tak jak to opisałeś i myślę, że jest to bezpiczeny sposób. Ale oczywiście mogę się mylić

[Adiasz]

a sesje to niby co, nie ciasteczka?

[Jarod]

a sesje to niby co, nie ciasteczka?

Tylko że sesje są trzymane po stronie serwera a nie klienta

[huntercs]

sesje to nie ciasteczka
dane sesji są trzymane na serwerze więc są bezpieczne, dodaktowo jeżeli masz taką możliwość możesz zabezpieczyć katalog poprzez .htaccess, deny from all i allow na swoje ip, ale sesje wystarczą w zupełności

[TomASS]

@Adiasz :

a sesje to niby co, nie ciasteczka?

Dlaczego tak uważasz?
Może akurat masz rację, tylko niestety zapomniałeś podać argumentów

[Adiasz]

@huntercs @TomASS Chodzilo mi o bezpieczenstwo, tzn ze mechanizm sesji wysyla ciasteczko do urzytkownika z sessionID i co z tego ze wartosc sesji jest przechowywana na serwerze, skoro klucz do niej jest trzymany w ciasteczku. Wiec nie widze dlaczego sesje mialby by byc bezpieczniejsze od samych ciasteczek (napewno sa wygodniejsze), chyba ze sie myle?

[TomASS]

@Adiasz :

Taka dyskusja mi się podba Masz rację

Gość wchodzący na twoją stronę WWW otrzymuje unikalny identyfikator, tzw. id sesji. Jest ono przechowywane albo jako ciasteczko po stronie użytkownika lub propagowane w URL'u.

Jak już wiemy, identyfikator sesji jest przechowywany w cookie w komputerze z przeglądarką lub jest wbudowany w argumenty GET, POST, przekazywane razem z żądaniem pobrania strony. Nie jest nigdzie zapamiętywany - przekazywany jako część żądania i zwracany do kody HTML, do łączy i formularzy, które mogą wygenerować kolejne żądanie. Przeglądarka i serwer przerzucają się tą krytyczną dla nas informacją jak "gorącym kartoflem". Jeżeli któraś ze stron zgubi identyfikator, nasza sesja się kończy

Tylko co Ci da ID sesji?

Ten post edytował TomASS 14.04.2006, 08:53:16

[Adiasz]

Wydaje mi sie ze w przypadku przejecia ciasteczka z sessionID dostaniemy dostep do tego do czego nie powinnismy miec dostepu :-)

[bigZbig]

Ciasteczko sessionID administratora zostaje utworzone w momencie poprawnego logowania. Po wylogowaniu sesja wygasa wiec aby przejac sesje admina trzebaby bylo miec dostep do jego komputera w momencie kiedy jest on zalogowany do systemu. To juz chyba latwiej byloby mu zainstalowac w kompie skaner klawiatury i zwyczajnie poznac jego login i haslo

[Apo]

Wydaje mi sie ze w przypadku przejecia ciasteczka z sessionID dostaniemy dostep do tego do czego nie powinnismy miec dostepu :-)

Wystarczy że do sesji dodasz:

[PHP] pobierz, plaintext 
<?php
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
//a na stronie sprawdzisz
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
exit();
?>
[PHP] pobierz, plaintext 

of kors i to sie da obejść ale więcej roboty jest.

Ten post edytował Apo 14.04.2006, 09:39:43

[di_kamilo]

możesz zabezpieczyć katalog poprzez .htaccess, deny from all i allow na swoje ip

Z .htaccess nie ma problemu, ale z ip nie bardzo bo zmienne jest

[Apo]

ale z ip nie bardzo bo zmienne jest

Zmienie się jeśli sie rozłączysz z netem i połączysz a nie podczas przeglądania internetu. Chyba że chcesz zrobić zapamiętywanie to wtedy musisz coś innego wymyślić.