[ Príspevkov: 23 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 22.05.10
Prihlásený: 07.07.13
Príspevky: 22
Témy: 9 | 9
NapísalOffline : 22.02.2011 8:30 | ochrana sessions

PRi logine uložím meno do $_Sesson['meno'] a $_session['logged_in'] sa nastaví na true overujem to cez retazec ktorý sa pri logine vygeneruje pre každého užívateľa.

Ale potrebujem tie session nejak ochrániť lebo kamoš sa dokázal lognúť na mna ako na to?


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 26.12.06
Prihlásený: 30.10.17
Príspevky: 4009
Témy: 181 | 181
Bydlisko: Nitra / Bra...
Vek: 24
NapísalOffline : 22.02.2011 10:10 | ochrana sessions

chybu mozes mat aj niekde inde


_________________
Sorry za prelkepy
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 20.10.08
Prihlásený: 18.01.14
Príspevky: 2626
Témy: 31 | 31
Bydlisko: Bratislava
NapísalOffline : 22.02.2011 10:59 | ochrana sessions

v prvom rade prestan pouzivat PHP session a bud siahni po nejakom hotovom rieseni, ktore spolupracuje aj s databazou, alebo si nakod svoje vlastne (zabere ti to aj s dobrym navrhom 2 hodinky).


_________________
Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 26.12.06
Prihlásený: 30.10.17
Príspevky: 4009
Témy: 181 | 181
Bydlisko: Nitra / Bra...
Vek: 24
NapísalOffline : 22.02.2011 12:31 | ochrana sessions

tommy, mas nejake linky na hotove riesenia?


_________________
Sorry za prelkepy
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 20.10.08
Prihlásený: 18.01.14
Príspevky: 2626
Témy: 31 | 31
Bydlisko: Bratislava
NapísalOffline : 22.02.2011 15:19 | ochrana sessions

Nemam, ja pouzivam codeigniter a tam uz session je. Len som si ju trochu prisposobil..

Ale inak je toho plny google, treba len vyskusat co ti bude vyhovovat :)


_________________
Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 22.05.10
Prihlásený: 07.07.13
Príspevky: 22
Témy: 9 | 9
Napísal autor témyOffline : 22.02.2011 16:57 | ochrana sessions

ja to používam aj z db že ak si lognutý tak je to v db že kto je online. ale meno užívateľké si zapíšem do session


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 27.11.08
Prihlásený: 08.07.17
Príspevky: 634
Témy: 98 | 98
Bydlisko: Veľký Krtíš...
NapísalOffline : 22.02.2011 18:30 | ochrana sessions

TommyHot píše:
v prvom rade prestan pouzivat PHP session a bud siahni po nejakom hotovom rieseni, ktore spolupracuje aj s databazou, alebo si nakod svoje vlastne (zabere ti to aj s dobrym navrhom 2 hodinky).


inými slovami:
nepoužívaj systém sessions, ktorý je natívne v PHP
naprogramuj si vlastný systém pre správu sessions pomocou funkcie session_set_save_handler() alebo si nájdi hotové riešenie
tip: komentáre pri vyššie uvedenej funkcií


Offline

Čestný člen
Čestný člen
ochrana sessions

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 22.02.2011 18:41 | ochrana sessions

TommyHot, Draex
Mozete mi zhrnut, ake nevyhody ma pouzitie PHP sessions oproti vlastnemu systemu?


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
NapísalOffline : 22.02.2011 19:43 | ochrana sessions

Ja sa pridávam ku Ďurimu a dúfam, že to nejako objasníte! Lebo ak ti niekto session ID neukradne cez XSS, alebo cez odpočúvanie paketov, tak ako sa ku nej môže ešte dostať??? A tak teda, keď ošetrím XSS, tak to riziko odpočutia paketov je minimálne a prijateľné...
Ale môžete ma opraviť ak sa mýlim. Preto sa pýtam.


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 27.11.08
Prihlásený: 08.07.17
Príspevky: 634
Témy: 98 | 98
Bydlisko: Veľký Krtíš...
NapísalOffline : 22.02.2011 19:54 | ochrana sessions

iba som prekladal tommyho post

dávnejšie som čítal niečo o tom, že pokiaľ má útočník rovnaký hosting so zlým zabezpečením ako ty, môže ti ukradnúť zoznam všetkých sessions - pomocou funkcii ako system() by to nebolo možné?


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
NapísalOffline : 22.02.2011 20:19 | ochrana sessions

Tomihot skôr napísal, že session používa spolu s DB. A na blbom hostingu sa môžu diať veci o ktorých sa nám ani nesníva...

Ale zaujímalo by ma, či sa dá nejako skutočne bezpečne overiť, či bolo session ID ukradnuté?
Stačí nejaký link, kde by nepísali kadejaké omáčky a kraviny.


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 20.10.08
Prihlásený: 18.01.14
Príspevky: 2626
Témy: 31 | 31
Bydlisko: Bratislava
NapísalOffline : 22.02.2011 20:30 | ochrana sessions

Duri no pokial nie si na shared hostingu, alebo sa na shared hosting dokazes spolahnut, tak je PHP session relativne v poriadku i ked stale mozes skusit session hijacking, ci session fixation.

A potom uz je to hlavne na negramotnych programatoroch, ktori nepoznaju session_regenerate_id(), http only cookies atd. Preto som za uz hotove riesenie s pouzitim databazy. Sice tam je zas problem SQL injection, ale stale sa radsej priklanam k DB session.


_________________
Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 27.11.08
Prihlásený: 08.07.17
Príspevky: 634
Témy: 98 | 98
Bydlisko: Veľký Krtíš...
NapísalOffline : 22.02.2011 20:44 | ochrana sessions

to "bezpečne" je vždy relatívne
môžeš napr. kontrolovať browser, verziu flashu, os, lokalitu, ISP, druhé session_id a pod. Isté riziko je tu stále

sessions v db by mali byt navyše rýchlejšie


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
NapísalOffline : 22.02.2011 21:03 | ochrana sessions

Draex:
No ak ti niekto dokáže ukradnúť session Id, tak k tomu ostatnému má prístup tiež. Vychádza mi, že XSS jednoducho treba mať ošetrené a DB ťa pred tým nezachráni. Ešte session_regenerate_id() zabezpečí, že človek relatívne rýchlo príde na to, že sa niečo deje (len či už nebude neskoro).

Ale to ako môže byť session v DB rýchlejšie to fakt nechápem... :loony:

TommyHot
Priznám sa, že o http only cookies som ešte nepočul/zabudol. Ten link by bodol. Aj ku tomu ,,atď.,,.


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 20.10.08
Prihlásený: 18.01.14
Príspevky: 2626
Témy: 31 | 31
Bydlisko: Bratislava
NapísalOffline : 22.02.2011 21:39 | ochrana sessions

camo pod DB session nemam na mysli PHP session + DB.

Atd malo byt napriklad, ze si vytvoris nejaky token a ten posielas s kazdym requestom. O http cookies si mozes vygooglit tony clankov.. Hned prvy odkaz http://www.codinghorror.com/blog/2008/0 ... ponly.html


_________________
Desktop: iMac 21" CPU: i5 2.7GHz RAM: 4 GB DDR3 1333MHz GPU: AMD Radeon HD 6770M 512MB RAM HDD: 1TB 7200 rpm OS: Mac OS X Lion Desktop: CPU: AMD Phenom II x4 BE 955 3.2@3.6GHz 1.35@1.30V CPU Cooler: Gelid Tranquillo rev.2 MB: Gigabyte 880GM-UD2H RAM: 2x2 GB Kingston 1333MHz GPU: MSI HD 6850 Cyclone 1GB PSU: Seasonic S12II-620 620W HDD: Seagate Barracuda 7200.12 1TB Case: CoolerMaster Elite 333 LCD: 22" LG flatron W2261VP Keyboard: Microsoft Comfort Curve 2000 Mouse: Microsoft Wireless Mobile Mouse 4000 OS: Windows 8 Notebook: Macbook Pro 13" CPU: i5 2.4GHz RAM: 4 GB DDR3 1333MHz GPU: Intel HD Graphics 3000 384MB RAM HDD: 500GB 5400 rpm OS: Mac OS X Lion Tablet: iPad 2 64GB 3G Phone: HTC Desire S Phone: iPhone 8GB
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 27.11.08
Prihlásený: 08.07.17
Príspevky: 634
Témy: 98 | 98
Bydlisko: Veľký Krtíš...
NapísalOffline : 22.02.2011 22:01 | ochrana sessions

camo: prístup ma ale je šanca, že to po niekoľkých neúspešných pokusoch vzdá :-D
a k ISP, lokalite aj ked ma prístup, napodobnit ich bude ťažké

K rýchlosti: serializácia a unserializácia sú vraj strašne pomalé


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
NapísalOffline : 23.02.2011 9:48 | ochrana sessions

TommyHot:
No a ten token je pred útočníkom neviditeľný? Ten Google naozaj vypľuje tony článkov o tom som ani nepochyboval. Ja som chcel tie bez omáčok a prípadných kravín(ten tvoj som ešte nečítal).

Draex:
No čítal som, že ISP môže byť aj dynamická, takže ako môžeš toto použiť? To ,,vraj strašne pomalé,, by som si ešte prosil overiť od niekoho, kto do toho lepšie vidí...


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 27.11.08
Prihlásený: 08.07.17
Príspevky: 634
Témy: 98 | 98
Bydlisko: Veľký Krtíš...
NapísalOffline : 23.02.2011 10:07 | ochrana sessions

ISP môže byt dynamické? počas session imho nebudes meniť poskytovateľa internetu.
O rýchlosti som to čítal v knihe PHP6: Programujeme profesionálne.


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 26.12.06
Prihlásený: 30.10.17
Príspevky: 4009
Témy: 181 | 181
Bydlisko: Nitra / Bra...
Vek: 24
NapísalOffline : 23.02.2011 10:09 | ochrana sessions

zrejme tym myslel, ze niektori ISP poskytuju dynamicku IP. a chcel to spojit zrejme s neexpirujucimi relaciami a kontrolou usera podla ip


_________________
Sorry za prelkepy
Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 27.11.08
Prihlásený: 08.07.17
Príspevky: 634
Témy: 98 | 98
Bydlisko: Veľký Krtíš...
NapísalOffline : 23.02.2011 10:27 | ochrana sessions

Pre to som nespomenul kontrolu IP - niektorí ISP vraj môžu zmeniť IP aj počas načítavania stránky. Expiráciu relácíii si môžeš nastaviť/naprogramovať.


Offline

Užívateľ
Užívateľ
ochrana sessions

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
NapísalOffline : 23.02.2011 12:06 | ochrana sessions

Emer:
Áno myslel som to presne tak.
Trochu sa mi poplietli pojmy s dojmami... :D

No a overiť poskytovateľa pripojenia je aká záruka?


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 22.02.09
Prihlásený: 30.09.13
Príspevky: 113
Témy: 41 | 41
NapísalOffline : 23.02.2011 17:55 | ochrana sessions

Zdravím,
chcem sa opýtať či je $_SESSION a $_COOKIES dostatočne bezpečne =).
Videl som tu na fóre niečo o tom že vlastný systém session. Ide totiž o to, že ja ukladám LOGIN NICK a LOGED v session... Niečo ako $_SESSION['LOGGED']. Myslím že ste pocohpili. Tak ja len či je to dostatočne bezpečné, alebo sa niekto môže nalogovať aj ked nie je prihlásený. V opačnom prípade poprosím nejaký návodík ako sa tomu vyvarovať, alebo ak vy viete niečo o tom "=) a aj čo mám robiť.


Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 23.02.2011 18:31 | ochrana sessions

AK sa niekto môže nalogovať aj keď nie je prihlásený, tak je úplne jedno, či sa použije "normálny" spôsob ukladania cookies, alebo si urobíš vlastný s databázou (pri DB navyše môžeš mať problém s nedostatočne ošetrenými dátami, ktoré budeš do tej DB vkladať).


 [ Príspevkov: 23 ] 


ochrana sessions



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Aka ochrana zariadenia (bleskoistka, prep. ochrana)

v Siete

2

227

06.10.2012 18:38

peto007

V tomto fóre nie sú ďalšie neprečítané témy.

spam ochrana, sql ochrana

v PHP, ASP

14

546

08.01.2011 23:56

Feko

V tomto fóre nie sú ďalšie neprečítané témy.

sessions

v PHP, ASP

11

421

26.02.2011 21:25

venom2

V tomto fóre nie sú ďalšie neprečítané témy.

Sessions help

v PHP, ASP

3

274

12.07.2007 11:14

TECHNODROME

V tomto fóre nie sú ďalšie neprečítané témy.

sessions error

v PHP, ASP

8

394

14.11.2008 18:39

Slappy

V tomto fóre nie sú ďalšie neprečítané témy.

Sessions chyba???

v PHP, ASP

3

242

05.11.2007 19:10

pepek92

V tomto fóre nie sú ďalšie neprečítané témy.

Dvojrozmerne sessions

v PHP, ASP

11

376

09.01.2009 22:20

jaji

V tomto fóre nie sú ďalšie neprečítané témy.

Problém so SESSIONs

v PHP, ASP

3

406

07.01.2012 21:41

hal_sk

V tomto fóre nie sú ďalšie neprečítané témy.

sessions-nejde odstranit

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PHP, ASP

34

1195

01.10.2008 21:10

dadmtb

V tomto fóre nie sú ďalšie neprečítané témy.

Problém so sessions

v PHP, ASP

1

186

25.12.2011 22:00

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

problem so sessions

v PHP, ASP

3

563

28.12.2006 18:19

programator

V tomto fóre nie sú ďalšie neprečítané témy.

PHP a SESSIONS

v PHP, ASP

2

276

28.10.2007 14:22

tatysp

V tomto fóre nie sú ďalšie neprečítané témy.

Pomoc so SESSIONS

v PHP, ASP

7

335

11.10.2007 19:33

pepek92

V tomto fóre nie sú ďalšie neprečítané témy.

Remove Duplicate Sessions

v Redakčné systémy

0

330

14.10.2006 14:49

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

alternativne odkladanie sessions

v PHP, ASP

1

267

24.10.2007 16:13

mondzo

V tomto fóre nie sú ďalšie neprečítané témy.

[VYRIESENE] Problem so sessions

v PHP, ASP

2

235

28.02.2009 16:32

bruno.b



© 2005 - 2017 PCforum, edited by JanoF