sid - беда для сео..
где то читал что типа дубли выходят и пс не очень это нравиться.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Полная Версия: Создание безопасной сессии
| Цитата (Valick @ 8.03.2013 - 15:26) |
| Nogard7491, кто эти "пишут"? чем это гет опаснее кук? |
А между тем ТС абсолютно прав!
| Цитата (Valick @ 8.03.2013 - 15:26) |
| "опасность" заключается в том что можно "подарить" свою сессию кому-либо вместе со ссылкой (но от этого можно и нужно страховаться на уровне логики кода сервера), и не более того. |
нужно называть вещи своими именами - требуется обязательная привязка сессии к IP, в противном случае это огромная дырень в безопасности
| Цитата |
| А между тем ТС абсолютно прав! |
я хотел что бы ТС конкретизировал ситуацию, а не из разряда "слышал звон..."
вот например проблемы с СЕО - это конкретный отмаз, это уже повод не пихать сид в ас
_____________
Стимулятор ~yoomoney - 41001303250491
| Цитата (Valick @ 9.03.2013 - 12:26) |
| я хотел что бы ТС конкретизировал ситуацию, а не из разряда "слышал звон..." |
могу привести реальный пример, как угнать чужую сессию через эту уязвимость
Дошёл до того что один из вариантов украсть сессию с помощью JS
killer8080
можно узнать от вас логику привязки сессии к ip, вкратце ?
alert(document.cookie);вот как от этого защититься ? (ну разумеется обрабатывать все данные пользователей, но вот всё же если узнали id сесиии)
killer8080
можно узнать от вас логику привязки сессии к ip, вкратце ?
| Цитата (Nogard7491 @ 9.03.2013 - 13:12) |
| Дошёл до того что один из вариантов украсть сессию с помощью JS alert(document.cookie); |
только при наличии xss уязвимости в коде
| Цитата (Nogard7491 @ 9.03.2013 - 13:12) |
| вот как от этого защититься ? (ну разумеется обрабатывать все данные пользователей, но вот всё же если узнали id сесиии |
session_set_cookie_params обрати внимание на опцию httponly
| Цитата (Nogard7491 @ 9.03.2013 - 13:12) |
| можно узнать от вас логику привязки сессии к ip, вкратце ? |
в примитивном виде, типа такого
if($_SESSION['auth'] && $_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
die('hacking attempt');
| Цитата |
| Дошёл до того что один из вариантов украсть сессию с помощью JS alert(document.cookie); |
я уже говорил - обрабатывайте входные данные.
иначе вам не поможет никакая - даже самая паранойная схема.
strip_tags(), htmlspecialchars() - не пустят JS
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (Valick @ 9.03.2013 - 12:37) |
| killer8080, приводите |
к примеру есть форум, на котором используется передача id через гет. Кулхацкеру достаточно разместить ссылку на подготовленную страницу, и ждать улов. По умолчанию все браузеры передают реферер в заголовках, это значит, что на вредоносной странице можно прочитать сессионный id из этого заголовка. остаётся лишь его записать, и проверить на принадлежность привилегированному пользователю.
killer8080
почитаю что вы прислали мне, спасибо
Игорь_Vasinsky
а если напрямую вводиться в адресную строку скажем javascipt:alert(document.cokie);
можно обработать? да и вообще можно программно заменить url на js код?
почитаю что вы прислали мне, спасибо
Игорь_Vasinsky
а если напрямую вводиться в адресную строку скажем javascipt:alert(document.cokie);
можно обработать? да и вообще можно программно заменить url на js код?
| Цитата |
| javascipt: |
работать будет внутри эвентов - онклик и тд
а так нужны <script></script>
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Игорь_Vasinsky
ясно, но думаю воспользоваться php_flag session.cookie_httponly On как посоветовали, вроде не пускает вывод кук через js
а вот что onclick срабатывает, запомню
ясно, но думаю воспользоваться php_flag session.cookie_httponly On как посоветовали, вроде не пускает вывод кук через js
а вот что onclick срабатывает, запомню
а хотя нет, что т не срабатывает флаг такой
session_get_cookie_params показывает что флаг httponly включён
но вот
а всё! каюсь, забыл браузер перезапустить
session_get_cookie_params показывает что флаг httponly включён
php_flag session.cookie_httponly Onно вот
<p onclick="alert(document.cookie);">узнать id сессии</p>как показывал PHPSESSION так и показывает :huh:
а всё! каюсь, забыл браузер перезапустить
Здесь расположена полная версия этой страницы.