Autor Zpráva
Radovan789
Profil *
V jakém případě mi někdo může ukrást session id ? Jde to pouze přes XSS ? Mám hashovat hodnoty v sessions ?
johnl
Profil
Hashování hodnot v sessionu je ti k ničemu, hodnoty sessionu jsou uložené na serveru, u klienta je uložené pouze UID sessionu, podle kterého se ze serveru načítají příslušné hodnoty..

Osobně bych ti třeba dal radu do sessionu uložit IP adresu (případně i user agenta) a při každém zavolání souboru zjistit zda se IP v sessionu shoduje s IP z které je session odesílaný, posléze pokud by se IP neshodovyly, tak session_destroy();.. :))
snake.aas
Profil *
ne... ani ip ani user agenta neukládej... bylo to tu taky už několikrát (kvůli privátním adresám a proxy se na to nelze spolehnout!)
pokud ti někdo ukradne session id tak hodnoty můžeš mít třeba pozlacené a stejně se mu povede relaci ukrást (on vlastně nepotřebuje hodnoty, stačí identifikátor relace)...

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: