• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi
Zapytaj

Dodatkowe ciasteczko sesji - zabezpieczenie.

Object Storage Arubacloud
0 głosów
221 wizyt
pytanie zadane 31 marca 2019 w Bezpieczeństwo, hacking przez MrxCI Dyskutant (8,260 p.)
Witam, podstawowe PHPSESSID z hashem md5 wydaje mi się zbyt łatwy do odgadnięcia nawet przy ataku.

Obecnie sesja niszczy się jeśli ktoś wejdzie na nią z innego IP lub przeglądarki z której ją utworzono. (mam zamiar zdjąć sprawdzanie adresu IP ponieważ dla osób z zmiennym jest to naprawdę uciążliwe)

Dodałem ciasteczko z losowymi 128 znakami i losową nazwą tej samej długości, jeśli ktoś wchodzi pierwszy raz owe ciasteczko się tworzy lub jeśli istnieje obecnie a sesja nie, zostaje zniszczone i wygenerowane nowe, przy każdym odświeżeniu skryptu php jest sprawdzane czy owe ciasteczko istnieje i jego wartości są przechowywane w sesji, musza się zgadzać inaczej użytkownik zostanie wylogowany.

Czy to znacznie utrudni "zgadywanie" identyfikatora sesji lub cokolwiek innego? Czy jest to raczej zabezpieczenie zbędne?

2 odpowiedzi

+1 głos
odpowiedź 31 marca 2019 przez adrian17 Ekspert (344,860 p.)

Powtórzę to co ostatnio powiedziałem. Nie wymyślaj własnych zabezpieczeń.

Witam, podstawowe PHPSESSID z hashem md5 wydaje mi się zbyt łatwy do odgadnięcia nawet przy ataku.

W obecnych wersjach PHP, PHPSESSID nie jest wynikiem hasha, tylko 128 (lub więcej)-bitową wartością pseudolosową. Z tego co wiem, zazwyczaj zakłada się, że jest to wystarczająco niezgadywalne.

Dodałem ciasteczko z losowymi 128 znakami i losową nazwą tej samej długości

A jeśli Twoja strona jest wrażliwa na XSS lub inne luki, to to atakujący może dostać się i do PHPSESSID i do tego ciastka równie łatwo.

 komentarz 31 marca 2019 przez MrxCI Dyskutant (8,260 p.)
Wszystkie podstawowe zabezpieczenia opisane na stronach zaimplementowałem, w wielu miejscach pisze że nie są one wystarczające i należy zależnie od rodzaju strony dopasować własne zabezpieczenia.

Obecnie pisze meneger sesji w PHP, poza tym wszystkie zabezpieczenia są opisy jak powinny dzialać i przykłady jak wyglądają, nie ma gotowych kawałków kodu do wklejenia - a co za tym idzie i tak trzeba je w pewien sposób napisać od nowa.
0 głosów
odpowiedź 31 marca 2019 przez Adrian1999 Nałogowiec (34,570 p.)

Nie wiem czy dobrze zrozumiałem, ale chyba chodzi Ci o to https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF) tutaj masz napisane podstawowe sposoby zabezpieczania się przed tym atakiem.

Podobne pytania

0 głosów
1 odpowiedź 1,199 wizyt
Co to właściwie ciasteczko i sesja?
pytanie zadane 4 listopada 2019 w PHP przez jared Gaduła (3,600 p.)
+2 głosów
1 odpowiedź 272 wizyt
Magazyn sesji - co to takiego?
pytanie zadane 23 października 2020 w JavaScript przez boneoflive Użytkownik (930 p.)
0 głosów
1 odpowiedź 934 wizyt
Poprawne zabezpieczenie sesji administratora. [PHP]
pytanie zadane 27 lipca 2015 w PHP przez migacz100 Mądrala (5,410 p.)

92,536 zapytań

141,377 odpowiedzi

319,452 komentarzy

61,922 pasjonatów

Kategorie pytań
Programowanie
Sprzęt komputerowy
Systemy operacyjne, programy
Sieci komputerowe
Hostingi, domeny, usługi
Urządzenia mobilne
Bezpieczeństwo, hacking
Rozwój zawodowy, nauka, praca
Egzaminy zawodowe
Matematyka, fizyka, logika
Grafika i multimedia
Ogłoszenia, zlecenia
Nasze projekty
Nasze poradniki
Sprawy forum
Offtop
Programowanie
C i C++ HTML i CSS JavaScript PHP SQL, bazy danych C# Java SPOJ Python Ruby Assembler Visual Basic Android, Swift, Symbian OpenGL, Unity Inne języki Algorytmy Systemy CMS Mikrokontrolery

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - jeżeli wpiszecie go w koszyku, to wówczas otrzymacie 40% zniżki na bilet w wersji standard!

Więcej informacji na temat imprezy znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

O działaniu forum

Pasja informatyki w internecie

Polecane miejsca w sieci

Snow Theme by Q2A Market
Powered by Question2Answer
...