Witajcie! Od pewnego czasu bawie się php, napisałem sobie apke do budżetu domowego i w między czasie pojawiła się kwestia bezpieczeństwa, a konkretnie - session hijacking.

Na wielu stronach, forach i w tutkach proponuje się np pobierać User-Agent i porównywać, a nawet są pomysły z adresem IP. Jednak nawet te zabiegi są mało warte dla "chcącego" Przeglądarki można użyć tej samej, a czytałem, że IP też można sfałszować (oczywiście musimy znać adres naszej ofiary). Wszystkie inne metody jak np ustawianie zmiennych w tablicy $_SESSION nie mają żadnego sensu.

Czy naprawdę nie ma innych metod ochrony przez wejście osobnika, który wykradł PHPSESSID? Mówie o sytuacji bez SSL i o takiej rozmawiajmy

1. Dodaj do ciasteczek flagę httpOnly.
Np dla sesji możesz tak:

[PHP] pobierz, plaintext 
ini_set('session.cookie_httponly', true);
[PHP] pobierz, plaintext 

2. Możesz w sesji stworzyć np. Hash w ktorym będzie:

[PHP] pobierz, plaintext 
$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_LANGUAGE'].$_SERVER['HTTP_ACCEPT_CHARSET'];
[PHP] pobierz, plaintext 

I w razie gdyby się nie zgadzał możesz poprosić o ponowne zalogowanie itp, lub skasować sesję.

Tak, czytałem o tym i mam to włączone z poziomu php.ini.



No tak, coś można z tym kombinować + nawet User-Agent. Tylko teraz nasuwa się taka kwestia - czy w każdym zapytaniu ta dane się znajdą? Z tego co wiem, to wymagany jest tylko Host do prawidłowego zapytania.

A może zrobić takie coś: porównywać jakieś losowo generowany klucz zapisywany w dwóch lokalizacja na serwerze? Tylko jak go skorelować z sessionid?

Ekspertem nie jestem, ale wydaje mi się, że nie ma 100% metody na blokadę wejścia przez skradzione PHPSESSID, więc chyba pozostaje tylko utrudniać 1. Odczytanie ID (po stronie klienta nie mamy za dużego pola do popisu) 2. wejście do aplikacji przez przejęcie sesji.

Dobrym zabezpieczeniem będzie zablokować możliwość wielu sesji dla jednego użytkownika, a do tego ustawić krótki czas życia sesji.

Można też zastosować protokół HTTPS.