Mam pewne wątpliwości związane z bezpieczeństwem wartości trzymanych w sesji. Czy jest możliwość ustawiania/edytowania takich wartości z zewnątrz, spoza skryptu?


Żeby bardziej zobrazować o co mi chodzi nakreślę to może pokrótce na konkretnym przykładzie.

Obecnie żeby dostać się do panelu użytkownika mam ustawiony tylko jeden warunek isset($_SESSION['userid']), a jeżeli zwróci true to panel się otwiera i wszelkie akcje są podejmowane dla konkretnego userid. Zastanawiam się jednak, czy jest to wystarczająco bezpieczne. Czy jest możliwe ustawienie tego identyfikatora zewnętrznie (w skrypcie pobieram go z bazy danych jezeli login i haslo się zgadzają) i podszywanie się pod jakiegoś użytkownika? Czy nie powinienem dodatkowo trzymać jeszcze hasła danego użytkownika i sprawdzać za każdym razem w bazie czy identyfikator i hasło się zgadzają?

Jest możliwe wykradzenie na przykład ciastka z identyfikatorem sesji. Jest możliwość zalogowania się na z góry ustalony identyfikator (przed tym chroni session_regenerate_id()), jest jeszcze parę ciekawych możliwości uzyskania sesji innego użytkownika włącznie z atakami socjotechnicznymi. Z tego co wiem póki nie ma możliwości ataku xss nie ma również możliwości ustawienia nowych zmiennych sesyjnych ani edytowania starych.

Ogólnie często sprawdza się jeszcze user agent czy ip. Podstawą jest korzystanie z wymienionego session_regenerate_id() i zabezpieczanie przed wstrzyknięciem kodu na stronę.

Dzięki, szukałem trochę na necie ocb z tą funkcjią, ale nadal nie wiem jak mam to wrzucić do kodu. Obecnie mam przy każdej stronie:

[PHP] pobierz, plaintext 
<?php
session_start();
 
if(($_SESSION['lastRefresh']+$this->timeout) < time())
	unset($_SESSION['userid']);
$_SESSION['lastRefresh'] = time();
?>
[PHP] pobierz, plaintext 

Z kolei na stronie panelu użytkownika wygląda to tak:

[PHP] pobierz, plaintext 
<?php
session_start();
 
(isset($_SESSION['userid']))
	or error('Dostęp do panelu mają tylko zalogowani użytkownicy!','index.php'); // wyrzuca błąd i przekierowuje do index.php
 
if(($_SESSION['lastRefresh']+$this->timeout) < time())
	unset($_SESSION['userid']);
$_SESSION['lastRefresh'] = time();
?>
[PHP] pobierz, plaintext 

Jak zatem widać sprawdzam aktywność użytkownika na stonie. Jeśli za długo był nieaktywny to wylogowuje go kasując userid z sesji. Do panelu ma dostęp tylko użytkownik z ustawionym userid w sesji. Czy zatem będzie dobrze tak:

[PHP] pobierz, plaintext 
<?php
session_start();
 
if($_SESSION['userid']){
	  if(!session_regenerate_id()){
		unset($_SESSION['userid']);
		error('Proszę o ponowne zalogowanie się!','index.php');
	}
  }
 
  if(($_SESSION['lastRefresh']+$this->timeout) < time())
	unset($_SESSION['userid']);
$_SESSION['lastRefresh'] = time();
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
session_start();
 
if($_SESSION['userid']){
	  if(!session_regenerate_id()){
		unset($_SESSION['userid']);
		error('Proszę o ponowne zalogowanie się!','index.php');
	}
  }
 
  (isset($_SESSION['userid']))
	  or error('Dostęp do panelu mają tylko zalogowani użytkownicy!','index.php'); // wyrzuca błąd i przekierowuje do index.php
 
  if(($_SESSION['lastRefresh']+$this->timeout) < time())
	  unset($_SESSION['userid']);
  $_SESSION['lastRefresh'] = time();
?>
[PHP] pobierz, plaintext 

Kilka postów niżej masz jak ja to zrobiłem TU
Kod który trzeba dodać to:

[PHP] pobierz, plaintext 
<?php
if (!isset($_SESSION['kontrola_sesji'])){
	session_regenerate_id();
	$_SESSION['kontrola_sesji'] = true;
	$_SESSION['adres_ip'] = $_SERVER['REMOTE_ADDR'];
}
if($_SESSION['adres_ip'] !== $_SERVER['REMOTE_ADDR']){
	$info = "Błąd: Próba przejęcia sesji!";
	exit;
}
?>
[PHP] pobierz, plaintext 

Widziałem twój temat już wcześniej, ale wtedy nie do końca rozumiałem sens tych zabiegów. Później jednak natrafiłem na artykuł z wikibooks, na którym przypuszczam, że się wzorowałeś... Rozjaśnił mi on nieco sprawę i nie muszę już wklejać kodu "na wiarę"

Dzięki za pomoc.

Dorzucam linka, może się komuś przyda:
http://pl.wikibooks.org/wiki/PHP/Sesje