murawa
29.08.2007, 23:56:22
1.Użytkownik loguje sie do serwisu
2.Rozpoczyna się sesja, przypisywane jest ID sesji
-Jeżeli wyłączę akceptacje cookie logowanie nie działa czyli ID sesji wysyłane jest do cookie tak ?
Jeżeli przejmę czyjeś pełne cookie i includuję do swojej przeglądarki w czasie trwania tej sesji to będę zaloguje się na jego konto?
Blodo
30.08.2007, 00:33:14
1. Jezeli wylaczysz w przegladarce cookie, ID sesji bedzie przekazywane przez URL.
2. Zalezy od serwisu. Jezeli serwis trzyma w sesji IP uzytkownika i sprawdza je przy kazdym odwolaniu do sesji, to tak latwo moze nie byc. Spoofowanie IP + nasluch na tymze IP zalatwiloby sprawe, tyle ze do tego musisz tez znac IP tego komu chcesz ukrasc sesje.
starach
30.08.2007, 00:36:15
Tak i jeszcze raz tak.
Nie słyszałem o stuprocentowo skutecznej metodzie obrony przez 'Session highjack',
ale można to utrudnić porównując na przykład adres IP z przechowywanym na serwerze.
Zazwyczaj jest to wystarczające zabezpieczenie chyba że porywanie sesji następuje z tej samej sieci.
edit>
Blodo:
To czy jest przekazywane przez URL zależy od skryptu.
Stała SID przechowuje identyfikator sesji i możesz sobie go wyświetlić gdzie chcesz.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.