Я делаю на сайте зону для админа. При авторизации использую сессию вот так:


Проверка доступа к зоне



Скажите, на сколько это безопасно?. Может ли злоумышленник как-то по другому создать сессию на сайте, не из скрипта?

Вполне безопасно.

В хакере вычитал забавный способ взлома
в куку '_SERVER[admin]' записать значение 'admin'. Тогда при включенном register_globals переменная $_SERVER['admin'] будет такой как надо...

Метод авторизации не такой уж и плохой, вот только следить за правильными настройками и откуда какие переменные приходят нужно все равно 

спасибо)

механизхм сессий не абсолютно безопасен.
самый реальный, как на меня, случай состоит в эксплуатации потенциальной уязвимости: в случае использования VDS(виртуального выделенного сервера) по умолчанию сессии хранятся в одной общей директории. и если создать на том же физическом сервере сайт, то можно будет просматривать содержимое переменных сессий. а проанализировав - подделать. борьба: либо менять механизм сессий целиком(например, запихивать в БД), либо указывать иной каталог для хранения сессий, отличный от умолчального(если есть доступ к файлам конфигурации PHP, что в случае использования VDS очень-очень маловероятно; но возможно).
кроме того, возможно подделать идетификатор существующей сесиий(на стороне клиента достаточно потереть куки и добавить соответствующий PHPSESSID в адресную строку или отредактировать содержимое куки) на реально используемый. идентификатор реально используемой сессии можно утянуть либо физически(специально склепанный троян или доступ к компу админа), либо эксплуатируя XSS(неэкранированный javascript утянет содержимое кук и отправит их злодею). борьба потенциально не возможно. разве что пытаться отличить разных пользователей по совокупности заголовков.
на форуме была где-то большая тема, но никак не могу найти.

Добавлено через 1 минуту и 27 секунд

имелось в виду, что можно изменить идентификатор сессии на реально существующий.

Способ по подделке идентификатора сессии админа имеет серьезное ограничение - надо успеть, пока сессия админа не отвалилась по таймауту.

вообще говоря, считаю, что подобное маловероятно. только если намеренное "нападение" на сайт. 
в любом случае, таймаут навряд ли меньше 15 минут - получаса.а XSS сразу выдаст куку. но это так, скорее теория.

skyboy, 
если сервер уже заражен - подделывать сессию админа как-то уже и незачем, хакер может этим заняться только из любви к искусству.     
Более реальный способ "потерять сессию" - посидеть в интернет-кафе. Центральный компьютер кафе просто обязан сканировать трафик, а добавить пару интересных фильтров-правил к антиспамным правилам кафешного файрволла совсем несложно...
Впрочем, с таким-же подозрением можно относиться к собственному провайдеру, провайдеру собственного провайдера, хостеру сайта и остальному интерент-сообществу   

ksnk, естественно. однако, вполне вероятен заказной взлом, если речь идет о каком-то крупном раскрученном проекте, который конкуренты видели в гробу. в этом случае возможно всякое   

Если это возможно, то это уязвимость сервера, а не механизма сессий, т.к. файлы в /tmp должны всегда создавать с правами по маске 077, по этому никакой другой пользователь не сможет их прочитать. И соответственно сам скрипт так же не должен иметь доступа к /tmp.

может, 0600? разве "0777" - это не "доступ всем и вся"? кроме того, мне не совсем понятен механизм VDS. разве Apache не запущен в единственном экземпляре(а значит, и модуль apache - php)? от имени одного определенного юзера?

Добавлено через 1 минуту и 57 секунд

если PHP(откедова у самого скрипта какие бы то ни было права?) не будет иметь доступ к папке с сесионными файлами(и к загруженным на сервер методом POST файлам), то кто будет с этими файлами работать? или я неверно тебя понял?

Не права доступа, а umask на директорию /tmp. Грубо говоря, при создании файлов в /tmp будут сниматся все быты для group и other.


Во первых есть такой крайне полезный модуль suexec, который позваляет запускать скрипты от имени самого пользователя. 
А во вторых даже если скрипты и запускаются от одного пользователя - это ничего не даст злоумышленику. То что для PHP интерпретатору будет доступ к файлам сессий, вовсе не значит что и PHP скриптам будет доступ к ним, собственно скриптам и не нужен к самим файлам с сериализованной сессией.


Если PHP работает через suEXEC (как и работают правильные хостеры), то без разницы, каждый пользователь будет иметь доступ только к своим файлам. Иначе см. выше.


Наверное все-таки ты имел ввиду не VDS, а виртуальный хостинг. VDS, если не ошибаюсь - это как раз виртуальных сервер, где предоставляется рут-доступ.

sTa1kEr, спасибо. зря я людей дезой запугивал 

спасибо, посмеялся 

Добавлено через 17 секунд
а, блин, смотрю сталкер уже всё написал, жаль 

Что бы сессию не могли подделать, нужно делать привязку по айпи)

Потрудись и обоснуй ? (Есть и обратная сторона медали)