Witam serdecznie!

Po przewertowaniu dziesiątek artykułów i nie tylko, wciąż męczy mnie jedna kwestia. Co jeżeli ktoś pozna ID sesji, czy session_regenerate_id(true) ma tutaj jakieś znaczenie? Np. user pójdzie sobie na obiad i wtym momencie ktos buchie mu SID i włamując się na konto innego usera przeładuje strone. regeneracja id nada wtedy nowe ID ale do kogo? Nie moge zrozumieć tej jednej rzeczy. Wydaje mi sie, że utrata SID to juz kaplica, prawda ?

Czytając na ten temat często spotykałem się z opinią, że ładowanie sesji do bazy jest genialnym pomysłem. To wciąż jest id sesji tyle ze w bazie a nie w pliku. Lepsza administracja ale wieksze obciążenie.

Pytam o sytuację - cookie u usera, a nie w pasku url, + SSL.
Pozdrawiam,
Robert

Tak - user który bedzie mial starego sida zostnanie wylogowany


Dla osoby która wykona jakis request do serwera - czyli jesli user je biad to faktycznie bedzie to napastnik



Niekoniecznie - mozesz jeszcze rejestrowac wersje przegladarki, ip, etc



To ma tylko zastosowanie w przypadku sharedhosting - pliki z sesjami wszystkich strona na danym serwerze sa trzyamane w jednym folderze i kazdy ma do nich dostep. Miejsce przechowywania tych plikow mozesz zmienic jesli admin pozwoli

session.save_path "" PHP_INI_ALL

Możesz zmienić w dowolnym momencie.

Tak oczwiście to robię.

Jednak szansa na to, o ile sesja ma rozsądny czas życi, niegłupi algorytm sid oraz użytkownik nie zawini - np. ciastkowy robak w systemie, wraz z końcem pracy wylogowanie się, że ktoś zdobędzie klucz jest naprawde niewielka - przynajmniej tak mówiły artykuły i podręczniki. Mimo wszystko czuję niedosyt. Czy na takim poziomie bezpieczeństwa można bazować? Oczywiście sprawdzam również takie rzeczy jak np. czy sesja jest wygenrowana przez mój system.

A może byś tak zajrzał z łaski swojej do przyklejonego wątku o bezpieczeństwie?