Witam

Chcialbym się dowiedziec w jaki sposob mozna sie zabezpieczyc przed podszywaniem sie sesji np. w systemie logowania (Pan A przez przypadek przesyla panu B link z SID). Czy musze do tego wykorzystywac weryfikacje oparta o ip i/lub $USER_AGENT ? Czy moze warto napisac wlasny mechanizm sesji?

Czekam na wasze propozycje i sposoby rozwiazania tego problemu.

własny mechamizm:

[PHP] pobierz, plaintext 
<?php
if (empty ($_COOKIE['sesja']))
   setcookie ('sesja', md5(rand(0, 999999999)));
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
$q = mysql_query ("SELECT * FROM sesje WHERE sid='".$_COOKIE['sesja']."' && przeg='".PRZEGLADARKA."' && ip='".IP."'");
while ($_SESJA[] = mysql_fetch_array ($q);
 
var_dump ($_SESJA);
?>
[PHP] pobierz, plaintext 

oprucz kolumn sid, przeg i ip daj jeszcze name (nazwa zmienne) i value(jej wartosc).

No dobra a gdy nasz gosc ma wylaczone ciastka ?

To zostaje tylko

[PHP] pobierz, plaintext 
<?php
mysql_query ("SELECT * FROM sesje WHERE sid='"SID"' AND ip='".IP."'");
 
if mysql_num_rows()=1
{
	 login();
}
else
{
// 
{
?>
[PHP] pobierz, plaintext 

Ale czy jest sens az tak zabezpieczac? Wiele serwisow tak dziala i nikt sie nie przejmuje tym.

mam nieodparte wrazenie ze juz jakis czas temu dyskusja na ten temat dosc zażarcie sie toczyla. osobiscie uwazam, ze sesje najlepiej opierac tylko na cookies, ladnie poinformowac usera zeby wlaczyl cookies i dlaczego i tego sie trzymac.

zabezpieczenie na ip jest dosc ulomne (wystarczy ze np. damy linka z przyklejonym id sesji kumplowi z bloku i juz autpryzowany jako my), a HTTP_X_FORWARDED_FOR mozna sfalszowac, wiec polegac na tym ze za bardzo nie mozna z punktu widzenie bezpieczenstwa.

Popieram!!! Rowniez uwazam, ze nalezy sie trzymac cookies i najlepiej z krotkim czasem zycia!!!