ochrana sessions

PRi logine uložím meno do $_Sesson['meno'] a $_session['logged_in'] sa nastaví na true overujem to cez retazec ktorý sa pri logine vygeneruje pre každého užívateľa.

Ale potrebujem tie session nejak ochrániť lebo kamoš sa dokázal lognúť na mna ako na to?

chybu mozes mat aj niekde inde

v prvom rade prestan pouzivat PHP session a bud siahni po nejakom hotovom rieseni, ktore spolupracuje aj s databazou, alebo si nakod svoje vlastne (zabere ti to aj s dobrym navrhom 2 hodinky).

tommy, mas nejake linky na hotove riesenia?

Nemam, ja pouzivam codeigniter a tam uz session je. Len som si ju trochu prisposobil..

Ale inak je toho plny google, treba len vyskusat co ti bude vyhovovat

ja to používam aj z db že ak si lognutý tak je to v db že kto je online. ale meno užívateľké si zapíšem do session

inými slovami:
nepoužívaj systém sessions, ktorý je natívne v PHP
naprogramuj si vlastný systém pre správu sessions pomocou funkcie session_set_save_handler() alebo si nájdi hotové riešenie
tip: komentáre pri vyššie uvedenej funkcií

TommyHot, Draex
Mozete mi zhrnut, ake nevyhody ma pouzitie PHP sessions oproti vlastnemu systemu?

Ja sa pridávam ku Ďurimu a dúfam, že to nejako objasníte! Lebo ak ti niekto session ID neukradne cez XSS, alebo cez odpočúvanie paketov, tak ako sa ku nej môže ešte dostať??? A tak teda, keď ošetrím XSS, tak to riziko odpočutia paketov je minimálne a prijateľné...
Ale môžete ma opraviť ak sa mýlim. Preto sa pýtam.

iba som prekladal tommyho post

dávnejšie som čítal niečo o tom, že pokiaľ má útočník rovnaký hosting so zlým zabezpečením ako ty, môže ti ukradnúť zoznam všetkých sessions - pomocou funkcii ako system() by to nebolo možné?

Tomihot skôr napísal, že session používa spolu s DB. A na blbom hostingu sa môžu diať veci o ktorých sa nám ani nesníva...

Ale zaujímalo by ma, či sa dá nejako skutočne bezpečne overiť, či bolo session ID ukradnuté?
Stačí nejaký link, kde by nepísali kadejaké omáčky a kraviny.

Duri no pokial nie si na shared hostingu, alebo sa na shared hosting dokazes spolahnut, tak je PHP session relativne v poriadku i ked stale mozes skusit session hijacking, ci session fixation.

A potom uz je to hlavne na negramotnych programatoroch, ktori nepoznaju session_regenerate_id(), http only cookies atd. Preto som za uz hotove riesenie s pouzitim databazy. Sice tam je zas problem SQL injection, ale stale sa radsej priklanam k DB session.

to "bezpečne" je vždy relatívne
môžeš napr. kontrolovať browser, verziu flashu, os, lokalitu, ISP, druhé session_id a pod. Isté riziko je tu stále

sessions v db by mali byt navyše rýchlejšie

Draex:
No ak ti niekto dokáže ukradnúť session Id, tak k tomu ostatnému má prístup tiež. Vychádza mi, že XSS jednoducho treba mať ošetrené a DB ťa pred tým nezachráni. Ešte session_regenerate_id() zabezpečí, že človek relatívne rýchlo príde na to, že sa niečo deje (len či už nebude neskoro).

Ale to ako môže byť session v DB rýchlejšie to fakt nechápem...

TommyHot
Priznám sa, že o http only cookies som ešte nepočul/zabudol. Ten link by bodol. Aj ku tomu ,,atď.,,.

camo pod DB session nemam na mysli PHP session + DB.

Atd malo byt napriklad, ze si vytvoris nejaky token a ten posielas s kazdym requestom. O http cookies si mozes vygooglit tony clankov.. Hned prvy odkaz http://www.codinghorror.com/blog/2008/0 ... ponly.html

camo: prístup ma ale je šanca, že to po niekoľkých neúspešných pokusoch vzdá
a k ISP, lokalite aj ked ma prístup, napodobnit ich bude ťažké

K rýchlosti: serializácia a unserializácia sú vraj strašne pomalé

TommyHot:
No a ten token je pred útočníkom neviditeľný? Ten Google naozaj vypľuje tony článkov o tom som ani nepochyboval. Ja som chcel tie bez omáčok a prípadných kravín(ten tvoj som ešte nečítal).

Draex:
No čítal som, že ISP môže byť aj dynamická, takže ako môžeš toto použiť? To ,,vraj strašne pomalé,, by som si ešte prosil overiť od niekoho, kto do toho lepšie vidí...

ISP môže byt dynamické? počas session imho nebudes meniť poskytovateľa internetu.
O rýchlosti som to čítal v knihe PHP6: Programujeme profesionálne.

zrejme tym myslel, ze niektori ISP poskytuju dynamicku IP. a chcel to spojit zrejme s neexpirujucimi relaciami a kontrolou usera podla ip

Pre to som nespomenul kontrolu IP - niektorí ISP vraj môžu zmeniť IP aj počas načítavania stránky. Expiráciu relácíii si môžeš nastaviť/naprogramovať.

Emer:
Áno myslel som to presne tak.
Trochu sa mi poplietli pojmy s dojmami...

No a overiť poskytovateľa pripojenia je aká záruka?

Zdravím,
chcem sa opýtať či je $_SESSION a $_COOKIES dostatočne bezpečne =).
Videl som tu na fóre niečo o tom že vlastný systém session. Ide totiž o to, že ja ukladám LOGIN NICK a LOGED v session... Niečo ako $_SESSION['LOGGED']. Myslím že ste pocohpili. Tak ja len či je to dostatočne bezpečné, alebo sa niekto môže nalogovať aj ked nie je prihlásený. V opačnom prípade poprosím nejaký návodík ako sa tomu vyvarovať, alebo ak vy viete niečo o tom "=) a aj čo mám robiť.

AK sa niekto môže nalogovať aj keď nie je prihlásený, tak je úplne jedno, či sa použije "normálny" spôsob ukladania cookies, alebo si urobíš vlastný s databázou (pri DB navyše môžeš mať problém s nedostatočne ošetrenými dátami, ktoré budeš do tej DB vkladať).