Witam,

wiele osób mówi, że można shakować serwis za pomocą Session ID. Dziwi mnie to, gdyż nie widzę jakoś możliwości wykorzystania tego.

Mógłby mnie ktoś bardziej oświecić, gdyż robię serwis rozrywkowy, a nie wiem czy się przed tym tak baardzo zabezpieczać. Pozdrawiam

ciekawe... tak, znająć sid któregoś z użytkowników mógłbyć chyba zrobić z nim ciastko i korzystać z jego konta... tylko jak iby mam poznac czyjeś sid? zwłaszcza, że ono się zmienia? wydaję mi się problem nie warty kłopotania się nim

SID napewno można ukraść, niewiem dokładnie jak bo nie interesuje mnie "ciemna strona mocy" ale swego czasu głośno było o tym w środowisku graczy ogame, jacyś cwaniacy kradli SID przez zewnętrzny plik ze stylem css który każdy gracz może sobie w profilu ustawić celem zmiany domyślnego wyglądu gry.

Dane przechowywane sesji są przez serwer i udostępniane po podaniu odpowiedniego SSID. Znając SSID, możemy dostać się do tych danych, choćby nie były one naszymi. Można na przykład zmienić hasła i inne duperele, choć nie powinno to doprowadzić do "shakowania serwisu", chyba że się zdobędzie dostęp do roota. ]:->

Po uwierzytelnieniu (jakieś logowanie) serwisy często przypisują danemu SID status "zalogowany" i taka przeglądarka, która poda odpowiedni SID ma dostęp do części chronionej. W momencie, gdy user nie naciśnie "wyloguj" tylko po prostu zamknie przeglądarkę, to sesja jeszcze przez jakiś czas jest aktywna po stronie serwera. Znając aktywny, uwierzytelniony SID można się w tym czasie pod kogoś podszyć.

Ale zawsze istnieje to ryzyko. Najlepszy zabezpieczeniem jest kontrola IP. Więcej nie da się niestety zrobić.

Właśnie nie IP. Ktoś siedzi w kafejce, zapomniał się wylogować a włamywacz go obserwował. Tamten wyszedł a włąmywacz usiadł do jego komp[pa i się włamał. Sam tak kiedyś bratu w domu zrobiłem

Takie cos to juz blad uzytkownika. Rownie dobrze mogl powiedziec "Usiadz na moje konto". W ogole wiekszosc wlaman spowodowanych jest bledami uzytkownikow albo ich czynnosciami ktore moga narazic hasla, id sesji itp.

Odpisujecie autorowi co zrobic dla bezpieczenstwa, a on sie pyta czy sie da w ogole to zrobic

No wiec da sie. Jednym ze sposob jest metoda silowa - napisanie skryptu, jezeli odgadnie sid, zmienia haslo, wysyla do wlamywacza sms-a, albo maila...konto przjete. Jednak trzeba sobie wyobrazic ile jest mozliwosci...a ich jest dosyc sporo, bo 16 do potegi 32, a jak zakodujemy np. md5 to bedzie ich 10 miliardow. Takze ktos musialby miec niezla determinacje, zeby cos takiego napisac i odpalic. Inny sposob to atakt na komputer klienta serwisu i wykradniecie z niego cookies, ktore by przechowywalo sid do atakowanego serwisu.

Zabezpieczenia:
- ograniczony czas sesji (zapis w bazie i odczyt przy kazdym zadaniu usera z pomiarem czasu) - po jego przekroczeniu (np. 10min bez aktywnosci dla bankow, godzine dla serwisow rozrywkowych) odnawiamy sid i prosimy o ponowne zalogowanie
- sprawdzac user agent w ramach tej samej sesji
- sprawdzac ip (ale to moze byc utrudnione ze wzgledu na NAT i Proxy... w przypadku proxy moga sie zmieniac ip przy ich zbyt duzym obciazeniu)