mikaelandre Skrevet 18. juni 2006 Skrevet 18. juni 2006 Jeg har et par spørsmål angående sikkerhet ved sessions i php. 1. Kan en bruker se hva som er lagret i sin session? 2. Kan en bruker se hva som er lagret i andres session? 3. Kan en bruker endre sin egen/andres session? Hvis en bruker ikke får se noen sessions, og ikke kan endre noen, vil det ikke da være nok å sette $_SESSION['loggedin'] = true; ved login, så har du en meget enkel måte å verifisere brukere, uten å lagre unna bruker/pass osv. Hvis jeg leser $_SESSION['level'] = 'admin'; så vet jeg at det er satt av meg. eller?
Ernie Skrevet 18. juni 2006 Skrevet 18. juni 2006 I utgangspunktet er det vel nei på alle sammen, men det er ingenting i vegen for at noen kan bruke en annens session. Derfor vil alikevel "$_SESSION['loggedin'] = true;" være milevis langt unna godt nok. Et absolutt minimum er IP og brukernavn/id.
mikaelandre Skrevet 18. juni 2006 Forfatter Skrevet 18. juni 2006 ja, jeg regney vel med dette, men kwn du si noe om hvorfor? skjer det pga bugs i php på serveren? eller må du ha en ondsinnet bruker som forsøker å ovrta andres session?
genstian Skrevet 18. juni 2006 Skrevet 18. juni 2006 Er bare å stjele session id så har du alle sessionene. Sjekk derfor med IP også (Som et minimum).
mikaelandre Skrevet 18. juni 2006 Forfatter Skrevet 18. juni 2006 men igjen, hva oppnår du vet stjeling av sessionid? du kan utgi deg for å være noen andre, men kan du også se hva som står der? om jeg har $_SESSION['hemmelig'] = 'hemmelig tekst'; kan noen da få tak i den?
brsseb Skrevet 18. juni 2006 Skrevet 18. juni 2006 En session varer en viss tid (ca 20 min er vel standard), og man kan "hijacke" en session som en bruker har forlatt (men som ikke er død på serveren enda). Da må hackeren enten stjele nøkkelen som ligger lagret i brukeren nettlesers "cookie", eller snappe den opp på veien. Et godt tiltak er som det nevnes, å lagre IP når bruker logger inn, og sjekke om den plutselig endrer seg midt under en session.
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå