Witam. Mam takie pytanie odnosnie widocznosci sesji w pasku adresu... Zauwazylem ostatnio, ze gdy zrobie jakas strone na localnym serwerze, a potem ja przenosze na serwer zewnetrzny to nie od razu ale po jakims czasie do adresu dopisuje mi sie id sesji, np cos takiego:

url=oferta&PHPSESSID=d89ca84c1b3ced91b08495bccf2e8622#

Czy jest to w jakims stopniu niebezpieczne jesli strona na ktorej sie to pojawia nie jest np. strona bankowa a np. posiada maly panel administracyjny np. do zarzadzania cenami produktow w ofercie? Lub wogole nie jest oparta o baze danych bo na takich tez sie to pojawia... A moze to wina serwera na ktorym stoi strona bo wczesniej gdy mialem wykupiony inny serwer to nic takiego sie nie pojawialo... Jesli ktos wie cos na ten temat to prosze o informacje... Pozdrawiam, ŁF.

Moim zdaniem nie, ale tutaj jest zapisane jak to wyłączyć - "Step 1. Preventing PHPSESSID from appearing".

A moim zdaniem jest niebezpieczne, zwłaszcza jeśli jesteś np. w kafejce internetowej. Jeśli ktoś ma dobry wzrok i wypatrzy twój identyfikator sesji, to może się pod ciebie bez problemu podszyć (chociażby dodając go do adresu strony) i narobić ci syfu.

Może się nie znam za dobrze na tych zmiennych, ale pomyśl, co Tobie to da ? Masz sessid i co ? powiedz mi jaka strona nie sprawdza ani hasła przetrzymywanego w sesji ani loginu, tylko na podstawie sessionid daje Tobie prawa do robienia wszystkiego, zresztą wydaje mi się, że jest to zmienna do odczytu i jeśli w skrypcie nie ma tak napisane, to za pomocą wpisania w adres, czyli metodą GET nie da się jej nadpisać, chyba, że w kodzie masz nadpisywanie jej, co byłoby absurdem.

A jak ktoś wchodzi na stronę to jest generowany jest nowe PHPSESSID, które moim zdaniem nie podlega nadpisaniu.

~sniezny ale walisz farmazony Widzę że kompletnie nie wiesz czym jest sid. Z Twojej wypowiedzi wynika że jeśli sid nie można nadpisać to jest ono generowane przy każdym requeście... co jest głupotą. Jakoś identyfikator musi zostać przekazany.

ale przecież w sesji mogłeś już być zalogowany! więc w tedy już nie sprawdza...
Odpowiedź na pytanie czy przekazywanie sid w url może być niebezpieczne brzy: tak. Bo często jest tak że ludzie kopiują sobie jakieś linki do stron swoim znajomym/nieznajomym, by coś pokazać. Oczywiście są do tego zabezpieczenia. Robi się odpowiednie walidatory i wraz z id sesji sprawdza się httpUserAgent czy IP...

@Sabisitk - racja, słyszałem, że przesyłając link SID można wbić się na czyjąś sesje. Napisałem, że nie wiem dokładnie.. wracając do kopiowania tych linków to większość stron i tak wywalało błąd sesji, czyli jakieś sprawdzanie po stronie skryptu było, może IP ? Wydaje mi się to proste i myślę, że większość stron tak czy inaczej ma przed tym zabezpieczenie. A jeśli chodzi o rozwiązanie problemu to podałem znaleziony artykuł - sądzę, że będzie pomocny.

@ sniezny_wilk, to ciekawe bo zmoich doświadczeń wynika że zdecydowana większość stron nie jest zabepieczona przed podmianą sid, zresztą co byś nie zapisał w sesji to jak prześlesz sid, to oznacza że to co tam zapisane tyczy się Ciebie. I trzeba się nakombinować żeby zabezpieczyć stronę przed czymś takim.

No tak, ale po pierwsze grono stron ukrywa SID, po drugie, co ze sprawdzaniem IP ? tego zapisanego w sesji i tego aktualnego chociażby ?

obstawiam, że sprawdzanie IP, w sytuacji opisanej powyżej czyli kawiarenki internetowej, nie przyniesie żadnego rezultatu. Pod pojęciem ukrywa masz na myśli przechowywanie w ciachu, tak? no to już jest jakaś poprawa bezpieczeństwa, ale jak duża to zależy od sytuacji, często okazuje się znikoma