Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Защита PHPSESSID, Как защитить идентификатор сессии 
:(
    Опции темы
EntityFx
  Дата 2.10.2010, 11:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 27
Регистрация: 30.3.2009

Репутация: нет
Всего: нет



Как защититься от замены значения PHPSESSID при котором доступ к сессии может нарушиться. 
Провёл один тест: создал сессии в двух браузерах. Заменил PHPSESSID из 1 браузера во втором.
Теперь я имею доступ к одной сессии в обоих браузерах. Вдруг случайно (?) при замене смогут получить доступ к другой сессии

Был 1 вариант защиты: создать в куках значение SECRET=md5(session_id()."string"); 

При каждом запуске сессии сранивать значение SECRET и md5(session_id()."string").

Если поменяют значение PHPSESSID или SECRET, то должно выкидывать.

Пожалуйста, предложите более оптимальный вариант.  smile 

Это сообщение отредактировал(а) EntityFx - 2.10.2010, 11:25
PM MAIL WWW ICQ Jabber   Вверх
ksnk
Дата 2.10.2010, 12:58 (ссылка) |  (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


прохожий
****


Профиль
Группа: Комодератор
Сообщений: 6855
Регистрация: 13.4.2007
Где: СПб

Репутация: 96
Всего: 386



EntityFx, в сессию можно записать информацию, передаваемую браузером - ip адрес, агент броузера, сопутствующий мусор про прокси. при получении Id сессии читать из нее все это и грязно ругаться в некоторых случаях.
Надо только представлять себе, что у добропорядочных пользователей:
- ip может поменяться в одной и той-же сесии, например, юзер пользуется мобильным устройством и быстро едет. Единственная радость - это не может случатся уж очень часто.
- прокси-мусор может поменяться непредсказуемым образом в зависимости от неопределенных причин

А недобропорядочные юзеры могут все это подделать. Включая куки.

Если информация настолько важна, что стоит возится с защитой - используй https.


--------------------
Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! user posted image
PM MAIL WWW Skype   Вверх
EntityFx
Дата 2.10.2010, 13:14 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 27
Регистрация: 30.3.2009

Репутация: нет
Всего: нет



Да, IP как-то не катит. Если используют прокси, либо у нескольких клиентов один внешний IP.
PM MAIL WWW ICQ Jabber   Вверх
EntityFx
Дата 2.10.2010, 13:37 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 27
Регистрация: 30.3.2009

Репутация: нет
Всего: нет



А если как вариант сделать JavaScipt, который по таймеру смотрит куки и восстанавливает первоначальное состояние?

Не, это сильно жёстко.  smile 

Это сообщение отредактировал(а) EntityFx - 2.10.2010, 13:48
PM MAIL WWW ICQ Jabber   Вверх
  
Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.

 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »


 




[ Время генерации скрипта: 0.0800 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.