witam, troche poczytalem, ale nic konkretnego nie znalazlem, a jak juz to sprzed paru lat

czy wbudowane do php sesje sa na prawde az tak niebezpieczne, zeby z nich nie korzystac?
slyszalem cos o jakis handlerach, ktore poprawiaja bezpieczenstwo, ale nigdzie nie znalazlem jakiegos przykladowego zastosowania tego.

Sessje niebezpieczne? owszem jesli ich nie zabezpieczysz sa niebezpieczne
poczytaj to: http://pl.wikibooks.org/wiki/PHP/Sesje powinno odpowiedzieć ci na niektóre pytania

czyli jak zrobie na podstawie tego z wikibooks to raczej nie mam sie co obawiac?

Raczej żadnych problemów z włamami / przechwycenami sessji nie miałem

cos czytalem o problemach z hostingami, ze jak na jednym jest kilka stron z sesjami to mozna przechwycac

Jeśli masz kilka serwisów na serwerze to korzystając z sesji musisz:
a) używać innych identyfikatorów sesji dla każdego serwisu albo
zapisywać sesję każdego serwisu w dedykowanym katalogu

Zdecydowaniem bezpieczniejszym rozwiązaniem jest opcja - wystarczy w .htaccess ustawiać zmienną session.save_path na unikalny katalog.

czyli jakby to mialo wygladac, bo nie bardzo rozumiem

Domyślnie każda sesja na serwerze zapisuje się w katalogu ustawionym w php.ini.
Jeśli masz kilka serwisów na 1 serwerze to wszystkie sesje lądują w tym samym katalogu.
Żeby tego uniknąć możesz dodać w pliku .htaccess w katalogu głównym każdego serwisu linijkę:

[PHP] pobierz, plaintext 
php_value session.save_path pełna_ścieżka_do_folderu
[PHP] pobierz, plaintext 

czyli np. jeśli masz serwis o nazwie example, to
a) tworzysz katalog example w katalogu z sesjami (załóżmy, że temp)
dodajesz wpis do .htaccess

[PHP] pobierz, plaintext 
php_value session.save_path "pełna_ścieżka_do_folderu temp/example"
[PHP] pobierz, plaintext 

dzieki, na tej stronie jeszcze jest napisane o ochronie przed Session Hijacking
i jako sposob podane $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
a co jak mam zrobione zapamietywanie usera na cookie? wtedy jak ktos ma zmienne IP to sesja padnie. jest jakis lepszy sposob?

można też za pomocą php ustawić folder sesji. session_save_pathMożesz zrobić coś takiego

[PHP] pobierz, plaintext 
$dane = md5($_SERVER['HTTP_USER_AGENT'].sha1($_SERVER['HTTP_ACCEPT_LANGUAGE']).'tak zwana sól...');
[PHP] pobierz, plaintext 

i wiadomo dane wrzucasz do sesji i do ciastka , i sprawdzasz potem.

moglby ktos jeszcze na to odpowiedziec?

i jeszcze jedno.
jakos udalo mi sie zrobic to z cookie i ladnie mi dziala zapamietywanie, ale obawiam sie, ze to nie jest bezpieczne.
jak zaznaczy sie przycisk to zapisuje cookie tak:

[PHP] pobierz, plaintext 
setcookie("aaa[username]", $username, $time + 3600);   
	setcookie("aaa[password]", $password, $time + 3600);
[PHP] pobierz, plaintext 

a potem to odczytuje :

[PHP] pobierz, plaintext 
if(isset($_COOKIE['aaa']))		{ 
[PHP] pobierz, plaintext 

ale wydaje mi sie ze tak to sobie wystarczy wyciagnac ciasteczko z komputera i kazdy sie podlaczy, wiec co tu jest musze dodac?

Zostaw cookies w spokoju i przechowuj wszystkie dane sesji na serwerze (

[PHP] pobierz, plaintext 
$_SESSION['id'] = ...
[PHP] pobierz, plaintext 

)
Generalnie jeśli użytkownik się zaloguje, to ustawiasz w sesji tylko jego id / username. Przechowywanie hasła nie jest wskazane

ale chce zrobic zapamietywanie, zeby nie trzeba bylo sie za kazdym razem logowac

No to robisz np. tak na początku każdej strony, do której ma być dostęp dla zalogowanych:

[PHP] pobierz, plaintext 
session_start();
if (!isset($_SESSION['id'])
// przekieruj do strony logowania
[PHP] pobierz, plaintext 

no tak, ale to mi nie zadziala jak zamkne przegladarke, bo wtedy sesja automatycznie sie skasuje, a dzieki cookies moge ja utrzymac.

powtarzam wiec pytania, zeby nie zaginely:



moglby ktos jeszcze na to odpowiedziec?

i jeszcze jedno.
jakos udalo mi sie zrobic to z cookie i ladnie mi dziala zapamietywanie, ale obawiam sie, ze to nie jest bezpieczne.
jak zaznaczy sie przycisk to zapisuje cookie tak:

[PHP] pobierz, plaintext 
setcookie("aaa[username]", $username, $time + 3600);   
	setcookie("aaa[password]", $password, $time + 3600);
[PHP] pobierz, plaintext 

a potem to odczytuje :

[PHP] pobierz, plaintext 
if(isset($_COOKIE['aaa']))		{ 
[PHP] pobierz, plaintext 

ale wydaje mi sie ze tak to sobie wystarczy wyciagnac ciasteczko z komputera i kazdy sie podlaczy, wiec co tu jest musze dodac?

Witam,

a czy nie lepiej zamiast w cookies zapisywać login i hasło po prostu zmienić czas ważności ciasteczka sesji? http://www.php.net/manual/en/session.confi...cookie-lifetime

Pozdrawiam

no duzo lepiej, musze to wyprobowac to dziala na tej samej zasadzie?

a co z pierwszym pytaniem?

Witam,

tworząc sesję do użytkownika trafia ciasteczko z identyfikatorem jego sesji na serwerze. Domyślnie jest ono usuwane przy zamykaniu przeglądarki. Ustalając czas samemu możesz decydować jak długo ciasteczko będzie jeszcze na komputerze.

Pozdrawiam

tylko z tego co tam wyczytalem to tez sie ustawia to w htaccess, wiec nie bede mogl zrobic if w kodzie php i zawsze kazdy bedzie mial przedluzona dlugosc ciastka, a nie tylko wybrani

Jestem ciekawy gdzie takie "czary" wyczytujesz?2 link z google . A wybrani... możesz ustawić w ciastku np. ID i haslo usera z bazy.. albo jak chcesz mniej "czytelne" to dodaj kolumne w tabeli z userami coś jak "md5($user.$haslo.$data_rejestracji.$id)" wtedy ciastko będzie miału wygląd podobny do PHPSSID i nie będzie czytelne. tylko zabezpiecz strone przed XSS...

no to tak jak mam teraz, ale chodzi o to, ze co za roznica czy haslo sie zaszyfrowane czy nie w przypadku wykradniecia ciastka? bo wtedy czy jest zaszyfrowane czy nie to nie ma znaczenia, bo i tak powinno odczytac. wiem, ze mozna wtedy wyciagnac tekstowo, ale mi chodzi o kwestie wykradniecia

A ja mam pytanie tak przy okazji
Zaznaczę że z sesji korzystam minimalnie.
Co zrobić aby po zniszczeniu sesji , przyciskiem cofnięcia(strzałka w lewo) nie można było wrócić do np konta.
Np w grze ikariam jest to tak zrobione że pisze sesja wygasła czy jakoś tak ;>

nie chce zakladac nowego tematu bo co chwile jakis powstaje o sesji wiec napisze tutaj.
Chce wlasnie robic logowanie i nurtuje mnie pewna sprawa nt. bezpieczenstwa sesji, ma to wygladac tak:
1.loguje sie i do tabeli w bazie zapisuje przegladarke i wygenerowany jakis unikalny kod
2.kod ten wrzucam tez do sesji $_SESSION['zalogowany']=$kod
3.dla zalogowanego na kazdej podstronie sprawdzam:
- czy kod w sesji zgadza sie z kodem zapisanym w bazie.
- czy przegladarka zapisana w bazie zgadza sie z user agentem.
4.sesje w oddzielnym katalogu.
Pytanie do bardziej doswiadczonych w php, czy to jest bezpieczne?

Po co sprawdzasz i porównujesz przeglądarki!? Bez sensu...
$kod radziłbym odpowiednio zaszyfrować (nie hashować tylko szyfrować... ;])
Jeśli nie korzystasz z kilku paneli mających identyczne sesje na jednym serwerze to zmiana katalogu nie ma większego znaczenia.
Jeśli chcesz podnieść bezpieczeństwo systemu logowania to proponuję podwójną sesję.
W jednej zapisuj $kod; w drugiej identyfikator przesyłany za każdym requestem logowania na maila użytkownika.
Stosuje ten sposób od roku i ani razu nie spotkałem się z ominięciem zabezpieczenia mojego autorstwa

P.S.
kill15:

[PHP] pobierz, plaintext 
session_unset('identyfikator');
[PHP] pobierz, plaintext 

przycisk wstecz na nic się tutaj nie przyda

czemu sprawdzanie przegladarki bezsensu?
Chodzi o to, ze ktos moze wykrasc sesje a ja wlasnie nie bardzo wiem na jakiej zasadzie dziala kradziez/przechwycenie sesji i stad moje obawy.
Kod oczywiscie bedzie jakos szyfrowany, z tym nie ma problemu.
Co do podwojnej sesji i wysylania identyfikatora to nie bardzo rozumiem...

Kradzież sesji nie opiera się na różnicach między przeglądarkami tylko lukach w zabezpieczeniach sesji. Sesję można wykraść jeśli nie została ona unieważniona podczas wylogowania lub na tym samym serwerze znajdują się 2 takie same panele, które inicjują identyczne sesje.
Podwójna sesja: nie inicjujesz 1 sesji z wartością np. nazwy użytkownika ale 2 - np. zaszyfrowane hasło i unikatowy kod, który przy każdym logowaniu jest zupełnie inny.
- użytkownik podaje login i haslo
- inicjacja 1 sesji
- w tym momencie na jego maila wysyla sie unikatowy kod
- uzytkownik wpisuje kod
- inicjacja 2 sesji
- przekierowanie na strone dla zalogowanych
- sprawdzenie, czy obie sesje są aktywne i czy obie są identyczne jak wartosci przypisane w bazie danych (jeśli korzystasz...)

to ja wiem tylko ta sesja jest wtedy aktywna na tej jednej przegladarce zapisanej w bazie, jesli ktos ja wykradnie to bedzie bezuzyteczna bo skad atakujacy bedzie wiedzial jaka to przegladarka?
Mozna tez zamiast przegladarki zapisac hosta i wg mnie jest to dobre rozwiazanie...
Twoj pomysl jest dobry ale jakbym musial tak sie logowac na jakiejs stronie to szlag by mnie trafil:D

Trzeba połączyć prostotę z bezpieczeństwem, a to niestety takie łatwe nie jest ;p
System jest bardzo funkcjonalny i jak na moje oko bezpieczny bardziej niż przeciętnie... Oczywiście za wygodne to nie jest ale jak chce się udostępniać bardzo ważne dane to lepiej skorzystać z takiego rozwiązania - dla dobra ogółu oczywiście

A propo wykradnięcia sesji,można postawić stronkę na HTTPS,jeśli się jeszcze czegoś więcej wymaga to zapraszam do lekturki tego Pana:
http://www.ploug.org.pl/konf_00/pdf/dworakowski.pdf


Myślę,że to załatwi sprawę z jakimkolwiek nasłuchem sieci.