Podstrony
- telcocafe
- [PHP+MySQL] Problem z połączeniem mysqli('localhost', 'xxx', 'xxx', 'xxx'
- [PHP] Wyrażenia regularne. Zamienić name="info_imie" na name="{info_imie}"
- [php] Dodanie textu do pliku. Problem... :) POMOCY!!!!!!!!!!!!!
- [PHP] Skrypt cenzury Chcę cenzury!!!
- Dobre programy do edycji php Dobre programy do edycji php
- [PHP] podział na strony php: podział na strony
- [PHP i MySQL] jak pobrac liczbe rezultatow Jak pobrac liczbe rezultatow???
- jak zrobic aktualizacje php? pomocy!!!!!
- Błąd w PHP-Fusion pomocy !!!!!
- Daczego nie dziala?? skrypt php nie chce działać!!!
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- gim1chojnice.keep.pl
telcocafe
Witam. Mam pytanie odnośnie bezpieczeństwa sesji. otóż przeszukałem informacje w internecie ale wciąż nie mam odpowiedzi który z mechanizmów zabezpieczenia będzie najprostrzy a zarazem najskuteczniejszy.Znalazłem informacje o 2 metodach zabezpieczania:
1. Zmiana identyfikatora sesji za każdym razem odświeżenia strony za pomocą "session_regenerate_id(true)"
2. Utworzenie własnego mechanizmu sesji i zapisanie identyfikatora w bazie danych.
I jeszcze jedno pytanie, chodzi o zapisywanie sesji w bazie danych, to czy wtedy będzie możliwy podszycie się pod użytkownika jak podczas zwykłego ataku "session hijacking" ;)
Funkcja session_regenerate_id() jest o tyle bezpieczna, że osoba, która zechce ukraść identyfikator sesji, musiałaby zdążyć przed przeładowaniem stront przez prawowitego właściciela sesji. Tak więc włączenie tej funkcji do kodu na pewno podniesie poziom bezpieczeństwa.
Używanie własnego mechanizmu sesji jest o tyle wygodne, że możemy wyposażyć go w dodatkowe mechanizmy sprawdzające, np. adresu IP. Jest to również wymagane w wypadku publicznego dostępu do plików sesyj, w których są ważne dane.
Wykradnięcie pliku cookie sesji jest zawsze możliwe, ale jeśli zastosuje się odpowiednie mechanizmy (o jednym już wspomniałem), to można się ustrzec.
A gdy na przykład zrobie swój mechanizm sesji i będzie sprawdzał adres IP to czy na przykład ktoś kto łączy się z internetem przez np. router a w sieci lokalnej jest więcej niż jeden komputer, to czy użytkownicy tego lan-u nie będą aby czasem logowani do tej samej sesji użytkownika który zalogował się pierwszy na stronie ?? :)
To by było zbyt proste zabezpieczenie, a właściwie żadne :-) Sprawdzanie IP możesz użyć jako dodatek. Zwykle generujesz unikalny ciąg znaków, dodajesz do bazy, a użytkownikowi wysyłasz ciastko z tym ciągiem. Używając dodatku: sprawdzając czy użytkownik istnieje w bazie, dodatkowo sprawdzasz, czy zgadza się adres IP.
Użytkownik andrzej_aa edytował ten post 29 styczeń 2008, 17:01