ФорумПрограммированиеПыхнуть хотите?F.A.Q. → продолжая цикл "Безопасность. ..."

продолжая цикл "Безопасность. ..."

  • mechanic

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 26 февраля 2008 г. 18:22

    прочел все части "Безопасности", представленные здесь, очень полезно!
    хотелось бы поговорить о краже сессии, неужели способы кражи ограничиваются только подстановкой SID в строку браузера?

    мысль по данной теме возникла по прочтении сего http://pyha.ru/forum/topic/109.0, а именно

    Итак мы определились, что авторизованные пользователи — те, у которых указан $_SESSION['user_id']


    можно ли подделать сессию? поставить свою переменную в сессию и вмиг стать "авторизованным" юзером?

    ЗЫ. Мило :) http://mexxs.net/trash/milo.jpg 303k
  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 26 февраля 2008 г. 18:47, спустя 25 минут 24 секунды

    так а подминив SID мы и получаем доступ к чужой сессии
    а свою переменную поставить в сессию нельзя, т.к. она хранится на сервере rtfm
    все умрут, а я изумруд
  • md5

    Сообщения: 11960 Репутация: N Группа: в ухо

    Spritz 26 февраля 2008 г. 18:48, спустя 1 минуту 2 секунды

    ЗЫ. Мило :) http://mexxs.net/trash/milo.jpg 303k

    предварительный просмотр рулит =)
    все умрут, а я изумруд
  • mechanic

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 27 февраля 2008 г. 8:16, спустя 13 часов 27 минут 20 секунд

    т.е. обезопасить юзера можно, привязав его SID к его IP
    но и тут не все гладко, вспомним про NAT (общий внешний IP для домовых сетей, например), прокси-серверы
    что еще можно придумать, чтобы даже зная SID невозможно было применить его с другого компа?
    хранить SID еще и в куке и сравнивать? бред кажися )
  • vasa_c

    Сообщения: 3131 Репутация: N Группа: в ухо

    Spritz 27 февраля 2008 г. 8:24, спустя 8 минут 41 секунду

    По всякому привязка к IP не помешает. Хотя бы из другой подсети зайти нельзя будет.
    А SID и так в куке хранится.
  • mechanic

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 27 февраля 2008 г. 8:53, спустя 28 минут 36 секунд


    А SID и так в куке хранится.

    …если они включены.
    а IP, повторюсь, может быть общим для нескольких клиентов
    т.е. материализуется задача определения реального IP
    в случае с прокси это вроде бы поле $_SERVER['HTTP_X_FORWARDED_FOR']
    а для NAT?
    пример: сеть 10.0.0.x, внешний IP 77.51.1.1
    на сайт залазят 2 юзера из той сетки, как их отличить?
    (напомню, куки отключены, для большего интереса задачи)
  • AlexB

    Сообщения: 4306 Репутация: N Группа: в ухо

    Spritz 27 февраля 2008 г. 9:33, спустя 39 минут 59 секунд

    Да никак не отличить. Поэтому понятие "количество пользователей сайта" всегда в той или иной степени условное. Посмотри на любой счетчик, он всегда считает хосты и хиты, но никак не юзеров в чистом виде. Иногда вводятся уточнения, например пользователи с одним IP и разными браузерами, условно считаются разными. Но 100% результат недостижим …
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 27 февраля 2008 г. 11:54, спустя 2 часа 21 минуту 4 секунды

    mechanic, если куки отключены, то как будет работать механизм сессий? Вы как себе это представляете?
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • sap

    Сообщения: 2701 Репутация: N Группа: Кто попало

    Spritz 27 февраля 2008 г. 12:11, спустя 17 минут 3 секунды

    если куки отключены, то как будет работать механизм сессий? Вы как себе это представляете?

    Если session.use_trans_sid == On то SID будет передаваться гетом.

    а IP, повторюсь, может быть общим для нескольких клиентов
    т.е. материализуется задача определения реального IP
    в случае с прокси это вроде бы поле $_SERVER['HTTP_X_FORWARDED_FOR']
    а для NAT?
    пример: сеть 10.0.0.x, внешний IP 77.51.1.1

    Эти заголовки можно подделать, так что в данном случае это никак не показатель.
    http://phpfaq.ru/ip - по теме.
  • mechanic

    Сообщения: 125 Репутация: N Группа: Кто попало

    Spritz 27 февраля 2008 г. 12:25, спустя 14 минут 17 секунд


    http://phpfaq.ru/ip - по теме.


    Такого количества неправильного кода не написано, наверное, ни для какой другой операции

    понравилось :)

    а вообще статья - как раз то, что я давно хотел почитать, благодарю за ссыль
  • adw0rd

    Сообщения: 22959 Репутация: N Группа: в ухо

    Spritz 27 февраля 2008 г. 12:30, спустя 5 минут 1 секунду

    S.A.P., а ну да…
    https://smappi.org/ - платформа по созданию API на все случаи жизни
  • Yasumi

    Сообщения: 28 Репутация: N Группа: Кто попало

    Spritz 18 августа 2012 г. 21:41, спустя 1634 дня 8 часов 11 минут

    ты и так на грубила!!!!!!!!!!!!!!! ты он или она?????????

Пожалуйста, авторизуйтесь, чтобы написать комментарий!