 Sesja, Cookie oraz Bezpieczeństwo, Jeżeli dubluje temat zgóry przepraszam |
| Sesja, Cookie oraz Bezpieczeństwo, Jeżeli dubluje temat zgóry przepraszam |
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 80 Pomógł: 0 Dołączył: 2.04.2006 Skąd: Poznań Ostrzeżenie: (10%) 
 |
1.Użytkownik loguje sie do serwisu
2.Rozpoczyna się sesja, przypisywane jest ID sesji -Jeżeli wyłączę akceptacje cookie logowanie nie działa czyli ID sesji wysyłane jest do cookie tak ? Jeżeli przejmę czyjeś pełne cookie i includuję do swojej przeglądarki w czasie trwania tej sesji to będę zaloguje się na jego konto? -------------------- Boże broń przed plagą, zarazą, trądem, wiedzą z kursów php oraz przed dziećmi neostrady
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 51 Pomógł: 1 Dołączył: 1.02.2005 Ostrzeżenie: (0%) 
|
1. Jezeli wylaczysz w przegladarce cookie, ID sesji bedzie przekazywane przez URL.
2. Zalezy od serwisu. Jezeli serwis trzyma w sesji IP uzytkownika i sprawdza je przy kazdym odwolaniu do sesji, to tak latwo moze nie byc. Spoofowanie IP + nasluch na tymze IP zalatwiloby sprawe, tyle ze do tego musisz tez znac IP tego komu chcesz ukrasc sesje. |
|
|
|
|
Post
#3
|
|
 Grupa: Zarejestrowani Postów: 999 Pomógł: 30 Dołączył: 14.01.2007 Skąd: wiesz ? Ostrzeżenie: (0%)
|
Tak i jeszcze raz tak.
Nie słyszałem o stuprocentowo skutecznej metodzie obrony przez 'Session highjack', ale można to utrudnić porównując na przykład adres IP z przechowywanym na serwerze. Zazwyczaj jest to wystarczające zabezpieczenie chyba że porywanie sesji następuje z tej samej sieci. edit> Blodo: To czy jest przekazywane przez URL zależy od skryptu. Stała SID przechowuje identyfikator sesji i możesz sobie go wyświetlić gdzie chcesz. Ten post edytował orglee 30.08.2007, 00:38:59 |
|
|
|
 |
|
Aktualny czas: 19.08.2025 - 09:57 |
