Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Znów sesje...
Forum PHP.pl > Forum > PHP
woocash
Moja autoryzacja na stronie wygląda tak:
1. przy logowaniu wysylam 2 cookiesy w jednym jest haslo a w drugim login
2. potem na kazdej stronce je czytam i sprawdzam w bazie

Pytanie:
Czy to jest bezpieczne?

Pytanie2:
Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura...

Pytanie3
Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu.
Seth
Cytat
Czy to jest bezpieczne?

nie

Cytat
Czy lepiej byłoby na sesjach?

tak

Cytat
Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu.

tak
DeyV
Cytat
Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura...

Przepraszam, a o co chodzi?
FiDO
Cytat
Cytat

Czy lepiej byłoby na sesjach?, bo z mojego doświadczenia wynika ze sesje mozna latwo(wzglednie) przechwycic wpisujac w adresie odpowiednie phpsessid... Oczywiscie zgadnoc je jest trudno ale zawsze to dziura...

Przepraszam, a o co chodzi?

Pewnie o to, ze ktos moze "przypadkiem" wpisac sobie (w URL'u) ID sesji , ktore akurat jest uzywane przez kogos z wiekszymi uprawnieniami (np. admina). Wydaje mi sie, że jest to równie małoprawdopodobne co trafienie 6 w totka winksmiley.jpg Chyba, że ktoś zapusci maszyne, ktora "przeleci" przez wszystkie mozliwe ID, ale to zajeloby za duzo czasu to raz (wszakże wszystkich ID przy std ustawieniach jest jedyne 34^32 przy zalozeniu, ze liter w alfabecie jest 24), skoro robilby to automat to musialby wiedziec po czym odroznic strone w wersji zalogowanej od zwyklej i pewnie sa jeszcze jakies utrudnienia, ktore nie wpadly mi do glowy.
A jesli nawet az tak sie tego kolega woocash boi to mozna przy logowaniu wpisywac do sesji IP i potem przy sprawdzaniu sesji sprawdzac tez IP. Zawezi to grupe potencjalnych "hackerow" do jednej osoby (samego zalogowanego, ktory napewno zna haslo, wiec nie musi sie wlamywac winksmiley.jpg ) lub calej podsieci zalogowanego jesli jest on za NAT'em (wtedy w razie znaleznienia "hackera" latwo wymierzyc mu samosad smile.gif).
Gorzej, jak uzywa proxy ale skad potencjalny hacker bedzie wiedzial, ze jest sprawdzanie IP... a nawet jak sie domysli to skad bedzie wiedzial, ze zalogowany np. admin korzysta z proxy, a nawet jesli winksmiley.jpg to bedzie musial jeszcze trafic te wlasciwe...
Seth
Sesje sa jednym z najbezpieczniejszych sposobow przekazywania tego typu danych. w polaczeniu z SSL sa "teoretycznie" nie do obejscia. ID sesji mozesz przekazac przez DNS ale musisz miec dostep do ustawien servera. Mozesz nawet sam stworzyc sobie swoje id sesji z 100 znakowa wartoscia.
Jednak na sniffera na localnej nie ma mocnych poza SSL'em.
woocash
Cytat
Cytat
Czy to jest bezpieczne?

nie

Cytat
Czy lepiej byłoby na sesjach?

tak

Cytat
Czy plik sesji będzie usuwany np. po x min od utworzenia, czy po x min od ostatniego odczytu? x to dlugosc sesji ustawiona w konfigu.

tak


1.Dlaczego to nie jest bezpieczne?
2.Nie odpowiedziałeś na mpje 3 pytanie :
Czy plik sesji będzie usuwany np. po x min od utworzenia, czy też po x min od ostatniego odczytu?
Seth
Cytat
1.Dlaczego to nie jest bezpieczne?

Bo dane o hasle i loginie jezeli juz takowe pretrzymujesz w sesji, skladowane sa na serverze. Do ktorego masz dostep Ty.
Natomiast Cookie skladowane sa na komputerze. Przypuscmy, ze ktos siedzi w kafejce. Jak odejdzie od komputera, wystarczy podejzec ciacho i mamy haslo. Po wylogowaniu z sesji nie da sie juz odczytac danych.

Cytat
2.Nie odpowiedziałeś na mpje 3 pytanie :
Czy plik sesji będzie usuwany np. po x min od utworzenia, czy też po x min od ostatniego odczytu?

Po x sekundach od utworzenia. Zajzyj do ustawien php.
woocash
Fajnie, tylko mamy problem...
1. Cookies u mnie są na 0 więc po wyłączeniu przeglądarki same się kasują nawet jak user sie nie wyloguje ...
2. Jeśli natomiast na sesji sie nie wyloguje user to jego dane zostana na serverze i przez jakis jeszcze czas mozna je przechwycic...
3. Na sesjach trzeba ten timeout ustawic co jest badziewne bo moze usera nagle po powiedzmy 30 min wylogowac. To jest jednak trochę wkurzające nie sądzisz?
scanner
30 minut bez odświerzenia strony? Mało prawdopodobne. Pozatym zawsze możesz w nagłówku strony wstawić skrypt JS, który np. na pasku stanu wyświetla
Cytat
Twoja sesja wygaśnie za XX sekund
Tak ma chyba interia na darmowych skrzynkach.
woocash
1.czyli po odświerzeniu sesja liczy się od nowa?
2. Ale tak czy siak jak masz cokies wyłączone to ktoś jak się nie wylogujesz może podejść w tej kafejce do kompa przejrzeć historię i z paska adresu wyciągnąć sessid
Seth
Cytat
1.czyli po odświerzeniu sesja liczy się od nowa?

Nie. Musisz stworzyc nowa.


Cytat
2. Ale tak czy siak jak masz cokies wyłączone to ktoś jak się nie wylogujesz może podejść w tej kafejce do kompa przejrzeć historię i z paska adresu wyciągnąć sessid

Tylko wtedy gdy przekazujesz id sesji w URLu.
woocash
No dobrze.
1.Adres w url mamy gdy koleś nie przyjmouje cookies.
Natomiast w tej samej sytuacji jeśli korzystam z cookies a nie sesje on nie dostanie ich więc niema czego ukraść! smile.gif


2. Przecież nie mogę nowej sesji zrobić bo będzie miała nowe id muszę kontynuować starą!
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.