Autor | Zpráva | ||
---|---|---|---|
Radovan789 Profil * |
#1 · Zasláno: 14. 2. 2011, 15:26:37
V jakém případě mi někdo může ukrást session id ? Jde to pouze přes XSS ? Mám hashovat hodnoty v sessions ?
|
||
johnl Profil |
#2 · Zasláno: 14. 2. 2011, 18:12:33 · Upravil/a: johnl
Hashování hodnot v sessionu je ti k ničemu, hodnoty sessionu jsou uložené na serveru, u klienta je uložené pouze UID sessionu, podle kterého se ze serveru načítají příslušné hodnoty..
Osobně bych ti třeba dal radu do sessionu uložit IP adresu (případně i user agenta) a při každém zavolání souboru zjistit zda se IP v sessionu shoduje s IP z které je session odesílaný, posléze pokud by se IP neshodovyly, tak session_destroy(); .. :))
|
||
snake.aas Profil * |
#3 · Zasláno: 14. 2. 2011, 19:23:34
ne... ani ip ani user agenta neukládej... bylo to tu taky už několikrát (kvůli privátním adresám a proxy se na to nelze spolehnout!)
pokud ti někdo ukradne session id tak hodnoty můžeš mít třeba pozlacené a stejně se mu povede relaci ukrást (on vlastně nepotřebuje hodnoty, stačí identifikátor relace)... |
||
Časová prodleva: 13 let
|
0