Sessions και ασφάλεια

Σε αυτή την περιοχή μπορείτε να βρείτε ή να αναζητήσετε πληροφορίες σχετικές με την PHP

Συντονιστές: WebDev Moderators, Super-Moderators, PHP Moderators

Απάντηση
Άβαταρ μέλους
Khronos
Δημοσιεύσεις: 754
Εγγραφή: 11 Δεκ 2006 14:43
Τοποθεσία: Ηράκλειο

Sessions και ασφάλεια

Δημοσίευση από Khronos » 31 Οκτ 2011 16:12

Ποιος είναι ο πιο σωστός τρόπος χρήσης των sessions πχ σε ένα login system έτσι ώστε να αποφύγουμε το ενδεχόμενο κάποιος να υποκλέψει πληροφορίες?
Εννοείται οτι δεν αποθηκεύουμε ευαίσθητες πληροφορίες πχ. passwords.
Τι άλλο όμως μπορούμε να κάνουμε για να προστατευτούμε?
Περιμένω να δω τις απόψεις σας (αν γίνεται με παραδείγματα)!

Άβαταρ μέλους
cherouvim
Script Master
Δημοσιεύσεις: 3137
Εγγραφή: 13 Ιούλ 2005 22:56
Τοποθεσία: Athens, Greece
Επικοινωνία:

Sessions και ασφάλεια

Δημοσίευση από cherouvim » 31 Οκτ 2011 18:17

Το session δεν είναι προσβάσιμο εκτός server, οπότε από πλευράς ασφάλειας μπορείς να κρατήσεις μέσα του ότι θέλεις, εφόσον χρειάζεται.

Το password δεν έχει νόημα να το κρατήσεις. Για πιο λόγο να το κάνεις αυτό;

Kypros Lambrou
Δημοσιεύσεις: 96
Εγγραφή: 17 Οκτ 2011 13:29

Sessions και ασφάλεια

Δημοσίευση από Kypros Lambrou » 31 Οκτ 2011 19:45

cherouvim έγραψε:Το session δεν είναι προσβάσιμο εκτός server, οπότε από πλευράς ασφάλειας μπορείς να κρατήσεις μέσα του ότι θέλεις, εφόσον χρειάζεται.

Το password δεν έχει νόημα να το κρατήσεις. Για πιο λόγο να το κάνεις αυτό;
Εκτός σε περιπτώσεις shared hosting φίλε cherouvim όπου υπάρχει περίπτωση κάποιος στον ίδιο server να "παίξει" με τα sessions μας πιο εύκολα.

Βασικά σε ένα απλό σύστημα πρόσβασης χρηστών τα πιθανότερα που θα χρειαστείς ίσως να είναι κάποια sessions που να δείχνουν αν είμαστε συνδεδεμένοι, ως ποιος χρήστης και ίσως τα privileges (admin, moderator κτλ.) του συνδεδεμένου χρήστη.

Άβαταρ μέλους
cherouvim
Script Master
Δημοσιεύσεις: 3137
Εγγραφή: 13 Ιούλ 2005 22:56
Τοποθεσία: Athens, Greece
Επικοινωνία:

Sessions και ασφάλεια

Δημοσίευση από cherouvim » 31 Οκτ 2011 19:54

Kypros Lambrou έγραψε:
cherouvim έγραψε:Το session δεν είναι προσβάσιμο εκτός server [...]
Εκτός σε περιπτώσεις shared hosting φίλε cherouvim όπου υπάρχει περίπτωση κάποιος στον ίδιο server να "παίξει" με τα sessions μας πιο εύκολα.
Ναι, είπα εκτός server.

Αλλά και στο shared hosting έστω πως έχει ssh user access ο χρήστης, πως γίνεται να "παίξει";

Άβαταρ μέλους
Khronos
Δημοσιεύσεις: 754
Εγγραφή: 11 Δεκ 2006 14:43
Τοποθεσία: Ηράκλειο

Sessions και ασφάλεια

Δημοσίευση από Khronos » 31 Οκτ 2011 19:58

Δεν ρωτάω για κάτι που φτιάχνω συγκεκριμένα, πιο πολύ για εγκυκλοπαιδικούς λόγους.
Απλά επειδή διάβασα κάποια πράγματα για session hijacking θέλω να ξέρω γενικά τι πληροφορίες πρέπει να βάζουμε και πώς είναι καλύτερα να χειριζόμαστε το session.
πχ. για το αν είναι κάποιος συνδεδεμένος, πρέπει να βασιζόμαστε μόνο στην τιμή που έχουμε δώσει στο session?
Μπορεί κάποιος να το εκμεταλλευτεί και να φαίνεται συνδεδεμένος ενώ δεν είναι?
Ξαναλέω ότι το φέρνω σαν παράδειγμα το login.

Kypros Lambrou
Δημοσιεύσεις: 96
Εγγραφή: 17 Οκτ 2011 13:29

Sessions και ασφάλεια

Δημοσίευση από Kypros Lambrou » 31 Οκτ 2011 20:04

cherouvim έγραψε: Ναι, είπα εκτός server.

Αλλά και στο shared hosting έστω πως έχει ssh user access ο χρήστης, πως γίνεται να "παίξει";
Ακριβώς γιαυτό χρειάζεσαι να υπάρχουν τα απαραίτητα μέτρα.

Το θέμα πάντα είναι και ανάλογα με το σύστημα που κτίζεις. Αν πχ ο χρήστης απλά μπορεί να κάνει comments στην σελίδα σου με το να είναι εγγεγραμμένος τότε η τόσο ψηλή ασφάλεια δεν είναι και στις προτεραιότητες σου. Αν πρόκειται για μεγάλο σύστημα με προτεραιότητα την ασφάλεια των χρηστών, τότε ακόμα και κάτι απλό όπως τα http headers που στέλνει η σελίδα μπορούν να παρουσιάσουν κενά ασφαλείας στο σύστημα αφήνοντας κενό ρίσκο.

Απάντηση

Επιστροφή στο “PHP Προγραμματισμός”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης