Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Bezpieczeństwo w sesjach
Forum PHP.pl > Forum > PHP
Rid
19.12.2010, 20:24:04
Szukałem w Google i znalazłem tylko takie zabezpieczenie
[PHP] pobierz, plaintext 
  1.  session_regenerate_id(true)
[PHP] pobierz, plaintext
,ma to zapobiegać przed przechwytywaniem danych w sesji.Czy zna ktoś ,także inne zabezpieczenia w sesji.
Myślę ,także na zainicjowaniu zmiennej sesji i zapisania jej do bazy danych,po czym zniszczenia jej i korzystania tej z bazy danych,ale czy to zwiększy bezpieczeństwo?questionmark.gif
Quadina
19.12.2010, 21:11:17
Ja zwykle stosuje taki dość standardowy system:
Ktoś wchodzi pierwszy raz i dostaje jeden cookie z kodem sesji. Po zalogowaniu dodaje mu drugie cookie, które jest hashem np. po jego loginie i jakiejs tam zmiennej losowej, dodatkowo ten hash zapamiętuje przy jego loginie w bazie danych. Mam tam oddzielną kolumnę hash_key. Przy każdym wywołaniu przez niego strony sprawdzam czy jest zalogowany (tutaj _SESSION), oraz zadaje zapytanie do bazy czy istnieje takich hash w bazie (tutaj z COOKIE numer 2). Jeżeli wszystkie dane z bazy, dane z sesji i adres IP się zgadzają to uznaje tę sesję jako bezpieczną.

Przed zalogowaniem korzystam z samej sesji i sprawdzam jedynie IP przypisane do niej. Nie specjalnie nigdy zajmuje się sesjami dla niezalogowanych, bo zwykle nie mają do niczego uprawnień.
Rid
19.12.2010, 21:15:52
Dziękuję za wskazówkę ,ale z IP to raczej się nie pokuszę -co niektórzy mają ,dynamiczne IP -zamiast IP da rady to zrobić z DNS-em?questionmark.gif
Quadina
19.12.2010, 21:20:28
Raczej nie dostaniesz DNS'a chociaż nigdy nie interesowałem się tym tematem. DNS też może się zmienić przy zmiennym IP (patrz neostrada - DNS zależny od podsieci w której się aktualnie znajdujesz). Bezpieczeństwo po IP raczej jest dla systemów gdzie wymagasz od użytkownika logowania za każdym razem, a ochrona sesji ma zabezpieczać przed kradnięciem ciastka. Jeżeli robisz jakiś zwykły system, to masz absolutną rację, że możesz go zaniechać ;-)
tehaha
19.12.2010, 21:53:22
Cytat(Rid @ 19.12.2010, 21:15:52 ) *
Dziękuję za wskazówkę ,ale z IP to raczej się nie pokuszę -co niektórzy mają ,dynamiczne IP -zamiast IP da rady to zrobić z DNS-em?questionmark.gif


IP, można użyć jako element zabezpieczenia sesji, przy każdym odświeżeniu sprawdzasz czy IP nie zmieniło się, czyli czy sesja nie została przechwycona, przecież nawet jak ktoś ma zmienne IP to w czasie jednego połączenie jest ono takie samo, tylko pozostaje jeszcze pytanie czy takie dodatkowe zabezpieczenia, rzeczywiście są konieczne? wydaje mi się, że w przypadku zwykłych serwis, które nie zawierają jakichś szczególnie poufnych danych, wystarczy wygasanie sesji po dłuższym czasie nieaktywności
Fifi209
19.12.2010, 21:59:05
Cytat(tehaha @ 19.12.2010, 21:53:22 ) *
wydaje mi się, że w przypadku zwykłych serwis, które nie zawierają jakichś szczególnie poufnych danych, wystarczy wygasanie sesji po dłuższym czasie nieaktywności

Właściwie w domu nie mam zbyt wartościowych przedmiotów, wystarczą same drzwi.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.