Diskuse JPW: Zabezpečení administrace (rkomoras)*

	Autor	Zpráva
	rkomoras Profil	#1 · Zasláno: 7. 7. 2008, 17:03:22 · Upravil/a: Moderátor (editace znemožněna) Odpovědět Citovat Dělám jednu administraci zabezpečenou na heslo...prosím posuďte jestli je to bezpečné, nebo jestli mám využít jiný způsob... index.php <?php session_start(); require_once("connset.php"); if($_SESSION["admin"]==1) { header("Location: admin.php"); } ?> ... <form action="login.php" method="post"> Jméno<br /> <input type="text" name="loginname" /><br /> Heslo<br /> <input type="password" name="password" /><br /> <input type="submit" value="Přihlásit" /> </form> ... login.php <?php session_start(); $loginname = $_POST["loginname"]; $password = $_POST["password"]; if ($loginname=="jmeno" && $password=="heslo") { $_SESSION["admin"] = 1; header("Location: admin.php"); } else { header("Location: index.php?err"); } ?> admin.php a jemu podobné <?php session_start(); require_once("connset.php"); if ($_SESSION["admin"]==1) { #HTML obsah apod. } else { header("Location: index.php"); } ?>
	Jan Tvrdík Profil	#2 · Zasláno: 7. 7. 2008, 18:26:41 Odpovědět Citovat rkomoras Když pominu, že by to šlo napsat lépe, tak bych řekl, že to je bezpečné
	rkomoras Profil	#3 · Zasláno: 7. 7. 2008, 18:29:22 Odpovědět Citovat že by to šlo napsat lépe jak lépe?
	Jan Tvrdík Profil	#4 · Zasláno: 7. 7. 2008, 18:31:12 Odpovědět Citovat rkomoras Např. napsat funkci: function pozadovatPrihlaseni() { if(!isset($_SESSION["admin"])) header("Location: index.php"); } a vkládat ji na začítek stránek, je to hezčí, než to celé balit to podmínky :)
	rkomoras Profil	#5 · Zasláno: 7. 7. 2008, 18:39:06 Odpovědět Citovat Jan Tvrdík To je pravda, ale už to takhle mám všude...
		Časová prodleva: 1 rok
	denCo Profil	#6 · Zasláno: 13. 7. 2009, 11:32:02 Odpovědět Citovat ale ber to tak, ze session sa daju ukradnut a potom sa prihlasi do tvojho administrativneho panela, a v pohode bude prihlaseny ako admin
	fuckin Profil	#7 · Zasláno: 13. 7. 2009, 11:41:37 Odpovědět Citovat denCo Jak ukradnout?
	Jan Tvrdík Profil	#8 · Zasláno: 13. 7. 2009, 12:09:30 Odpovědět Citovat fuckin: „Jak ukradnout?“ http://www.phpguru.cz/clanky/session-hijacking
	denCo Profil	#9 · Zasláno: 13. 7. 2009, 18:02:34 Odpovědět Citovat „Jak ukradnout?“ Jan Tvrdík ti poslal link, ktory by ti mal stacit, a ver tomu ze kebyze niekto si da zalezat na tom, aby ti to ukradol a nemal by si to ochranene kontrolovanim IP alebo niecim podobnym, tak by si si dlho neuzil tu stranku
	rkomoras Profil	#10 · Zasláno: 13. 7. 2009, 18:08:05 Odpovědět Citovat No kontrolu IP bych tam určitě nedával... Takže cookies jsou bezpečnější? (Nebo je ještě jiná možnost?)
	denCo Profil	#11 · Zasláno: 13. 7. 2009, 19:01:46 · Upravil/a: denCo Odpovědět Citovat „No kontrolu IP bych tam určitě nedával... Takže cookies jsou bezpečnější? (Nebo je ještě jiná možnost?)“ preco by si nedaval IP? cookies su este horsie, session sa ukladaju do cookies, len su zasifrovane a mozu mat neobmedzenu velkost a zo session sa nedaju zistit hodnoty
	rkomoras Profil	#12 · Zasláno: 13. 7. 2009, 19:07:25 Odpovědět Citovat „preco by si nedaval IP? “ A proč bych měl bejt omezenej jen na jednu (nebo několik) IP. Třeba tam budu potřebovat přístup z jiné IP... „Nebo je ještě jiná možnost?“
	tiso Profil	#13 · Zasláno: 13. 7. 2009, 19:08:47 Odpovědět Citovat denCo: „cookies su este horsie, session sa ukladaju do cookies, len su zasifrovane a mozu mat neobmedzenu velkost a zo session sa nedaju zistit hodnoty“ Poprosím vysvetliť ako si to myslel.
	fuckin Profil	#14 · Zasláno: 13. 7. 2009, 19:37:50 Odpovědět Citovat Jan Tvrdík Tak ukradnuti session bych se fakt nebal, jelikos SID neposila pres url ale pres cookie tak to mu zarucuje velkou bezpecnost, jeste jsem se s nicim takovym nesetkal, a to sem se o teto problematice bavil s mnoha odborniky, a dokonce i s hackery.
	Mastodont Profil	#15 · Zasláno: 13. 7. 2009, 22:13:20 Odpovědět Citovat Ti paranoidnější mohou pro každý požadavek znovu volat session_regenerate_id ..
	denCo Profil	#16 · Zasláno: 14. 7. 2009, 10:09:04 · Upravil/a: denCo Odpovědět Citovat „A proč bych měl bejt omezenej jen na jednu (nebo několik) IP. Třeba tam budu potřebovat přístup z jiné IP...“ asi ma tu nikto nepochopil... ked sa prihlasis, tak si nastavis do session nejaku hodnotu podla ktorej mozes vstupit do administracneho panela... ja nastavim aj IP a prehliadac z ktoreho sa prihlasis... a ked budem chciet ist na administraciu, tak skontroluje, ci mas taku istu IP adresu a prehliadac ako ked si sa prihlasil...
	rkomoras Profil	#17 · Zasláno: 14. 7. 2009, 11:40:01 Odpovědět Citovat „asi ma tu nikto nepochopil...“ Ne, to jsem nepochopil...
		Časová prodleva: 4 dny
	dgx Profil	#18 · Zasláno: 18. 7. 2009, 12:52:17 Odpovědět Citovat Mastodont To raději ne, při rychlém refreshi stránky by to člověka dřív nebo později odhlásilo.
		Časová prodleva: 15 let

Toto téma je uzamčeno. Odpověď nelze zaslat.