Autor Zpráva
_fantomas
Profil
Ahoj, neviem kde som to mal písať tak píšem do tejto sekcie, ide mi všetko len sa chcem spýtať.
Vstup do adminky povolujem len uživateľom ktorý majú $_SESSION['admin'] to akú skupinu má
overujem pri prihlasovaní, napr normalny uživateľ nemá session admin ale session user ...
No a v adminke overuj ak nie je nastavená session admin tak ho to presmeruje na index.
Myslíte že je to správna voľba? Nedá si niejako hacknut session že si tam užviateľ len tak da
hodnotu aku chce on?
xROAL
Profil
Session údaje sú uložené na serveri. Užívateľ má u seba uložené len session ID, ktoré sa posiela na server a na základe tohoto ID server dokáže vybrať konkrétne session dáta. Vlastné veci si teda užívateľ do session len tak ľahko nevloží, dá sa však ukradnúť toto ID, vďaka čomu ma potom server bude identifikovať ako niekoho iného. Relatívne jednoducho sa dá takýto útok spraviť v rámci lokálnej siete. Mimo nej, neviem.
_fantomas
Profil
No a ked po každom prihlásení generujem nové session ID pomocou session_regenerate_id ?
Keeehi
Profil
_fantomas:
No a ked po každom prihlásení generujem nové session ID pomocou session_regenerate_id ?
To je naprosto správně.

Dalším bezpečnostním prvkem by mělo být používání https. Nevím, jak bych chtěl xROAL v lokální síti provést útok, ale když budou tvoje sránky komunikovat na https tak si neškrtne. Samozřejmě za předpokladu, že to budeš mít správně nastavené.

Taky je dobré nastavit pro session cookie příznak http-only. V případě že i kdybys měl na webu xss zranitelnost, tak útočník se javascriptem k session nedostane.

Dále použít nastavení serveru takové, aby nebyl možný session fixation útok, nebo to ve scriptu ošetřovat, ale to by byl opruz.

Taky se hodí zabezpečit celou administraci proti CSRF útokům. Třeba změna hesla by určitě nepotěšila.

Rozhodně se hodí nastavit hlavičku X-Frame-Options

... a je toho další velká spousta

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: