mozna budu take slovickarit, tak se tady s masterem rozloucim a pokracuji... nemuzu se zbavit dojmu, ze se tady mota nekolik vyrazu nesmyslne dohromady. rozdil mezi session a cookies (uz jsem tady na to v nejakem threadu podobne reagoval). session je prakticky kazda unikatni navsteva jednoho prohlizece. diky vlastnostem http protokolu je potreba nejak danou session identifikovat a prakticky se k tomu da pouzit prenos id v cookie nebo v adrese. oboje se posila v hlavickach nekodovane, tak nevidim bezpecnostne temer zadny rozdil.
>podle mého názoru ti cookies dokaze ukrast mnohem vice lidi nez session...
...pokud ziskam tvoji cookie, ziskam snad pristup k dane session, nebo ne? tak jak tu session identifikujes?
>tak ci onak, nebudu resit bezpectnost nejakych session nebo http
>autentizace, protoze je to podle me z hlediska bezpectnosti reseno dobre...
...podle me to bezpecnostne neni reseno vubec dobre, ale to je proste vlastnost HTTP.
>o nastroji $SESSION implementovanem v PHP????? Ja mu neverim...
...ja prave naopak mu verim. v php3 jsem pouzival vlastni system identifikace sessions, ale co je rozsireno PHP4 nyni se spoleham na autory, kteri mnohem lepe vedi ceho se drzet a ceho ne...
>Heh a jak asi?!
...zamyslis se nad tim Lukasiku, nebo tady zase budeme vymejslet vymyslene? :-)))
m.s.
No, proč by ne;). Ale jinak než jsou řešené sessions nelze předávat proměné, tedy sessions jsou naprosto dostačující...
mam porad pocit, ze pletes hrusky z jabkama (a nejen ty), ale to se mi asi jen zda :-)))
m.s.
Autor: martin s. (---.equip.icdsatt.net)
> ...pokud ziskam tvoji cookie, ziskam snad pristup k dane session, nebo ne? tak jak tu session identifikujes?
Prave, ziskat cizi cookies je problem. Jak to udelas?
* Odposlechnes na siti???? Maximalne tak na lokale nebo u routeru. Na dalku tezko. Leda bys donutil obět, aby routovala přes tebe. Ale takhle se da odposlechnou ledacos a branit se muzes jen kodovanim spojeni
* Napadnes cizi počítač a přečteš si je???? Když už napadnu cizi počítač, tak už nebudu mít potřebu krást session :o))))
* Získám javascriptem. Ano = jediná možnost, bohužel je nutné spustit javascript u obeti, coz znamena, ze musis do jeho uctu vlozit nejaky nový podvratný javascriptovy kod. Pokud to ta stranka neumoznuje (coz je vetsina), mas smulu. Navic musis to cookies nainstalovat nejak u sebe, coz se u session cookies (docasna cookies ulozena jen v pameti prohlizece) dela dooost blbe.
Pokud pouzivas URL k predavani Session ID pribyva ti jedna moznost navic
* Donutit obet, aby na zabezpecene strane klikla na odkaz na sideserver script, ktery precte REFERER nebo se ji zobrazil obrazek maskujici sideserver script - tohle je vemli snadny zpusob ziskani SESSIONID
Pokud vim $session pouziva oba zpusoby (cookies i URL) a nema kontrolu IP adresy. Z toho prameni ma neduvera.
takze jsi si udelal zpusob, ktery k idetifikaci aktualni sesny pouziva pouze cookies (to se da imho zajistit i u implementovaneho zpusobu registrovani promennych ve standartnim php), ale jinak v cem je tvuj zpusob lepsi or/and jiny ? aby stalo za to, vymejslet si neco sveho...
m.s.
Mas nad nim absolutni kontrolu a pokud nekdo objevi zpusob, jak ho prolomit, muzes ho snadno modifikovat tak, abys mu zneprijemnil cestu. V pripadne $SESSIONS musis pockat na autory.
Kdyz hodne lidi pouziva stejny nastroj, hodne lidi se snazi tento nastroj prolomit. Tezko se bude o to snazit nekdo u mne, kdyz pouzivam nestandardni zpusob :o) Leda by tim ziskal nejaky slusny prachy nebo vyhody :o)
>Kdyz hodne lidi pouziva stejny nastroj, hodne lidi se snazi tento nastroj prolomit...
...no to je sice pravda, ale nenapada me, jak lepe jeste muzes generovat jedinecne id... takze jedinej rozdilnej zpusob mas v ukladani promennych - a tam se mi zpusob serialize pouzitej v php zamlouva (nebo je vazne prenasis v cookie???)
ale jinak beru tvoji paranoiu (i kdyz co je moc...;-))) (no jo, ale paranoii neni nikdy dost ;-)))
m.s.
<HTML>> Pokud vim $session pouziva oba zpusoby (cookies i URL) a nema kontrolu IP > adresy. Z toho prameni ma neduvera.
Kontrolu IP muzes jednoduse do toho std. mechanismu dodelat. Pri prvnim pristupu IP ulozis a pri dalsim uz jenom srovnavas. Na tom prece nic neni.
Jinak je ale fakt, ze k tem GET promennym se muzes dostat snadneji.
Neduvera ... to slovo myslim neni uplne adekvatni k otazce bezpecnosti. Bezpecnost neni tak uplne o pocitech ;-)
> jsem pochopil ze mluvime o nastroji $SESSION implementovanem v
> PHP????? Ja mu neverim. Radsi jsem si napsal vlastni.
php treba umi generovat session id ze systemovych zarizeni /dev/{u,}random ... to si myslim by melo byt nahodnejsi nez nejake uniqid() rand() atp. z php
tip: http://www.fourmilab.ch/random/
tak jsme si to vysvetlili, ale stejne tu vsichni krome cca 3 lidi budou mit porad poradny hokej zejo ? ;-)</HTML>
Ja promenne session ukladam do databaze, protoze jsou to casto zmeny trvalejsiho charakteru. Zatim jsem nemel potrebu ukladat si nejake docasne stavy. Jediny co si s session id prenasim je userid, ktery mi slouzi jako klic k databazi. sessionid je take odvozeno z userid, takze zmena userid bez sessionid znamena vykopnuti ze systemu.
>podle mého názoru ti cookies dokaze ukrast mnohem vice lidi nez session...
>...pokud ziskam tvoji cookie, ziskam snad pristup k dane session, nebo ne? tak jak tu session identifikujes?
myslim ze cookies a session davas do jednoho pytle Matrine !
pokud se nepletu (stejne je to psano i v tom clanku), tak aby jsi nekomu odchytil sessionID musi byt online a zrovna pripojeny k danemu serveru (coz je plne logicky) ! kdezto cookies jako takovy maji vetsinou sirsi dobu pusobnosti.. takze mas obycejne vice casu je nekomu ukrast...
Mno nic, když jsem o tom jěště tak večer uvažoval, tak jsem zjistil že u mně, i kdyby někdo ukradl někomu sessions tak je mu to stejně téměř na dvě věci, páč dostane jenom náhodnej řetězec a jeho uživatelské jméno, až z těchto věcí se na stránce vygeneruje řetězec (plus jěště do toho se přidá prohlížeč, IP a snad jěště něco...). A až pod tímto řetězcem může uživatel dostat nazpátky potvrzení, že je přihlášen...
>myslim ze cookies a session davas do jednoho pytle Matrine !
@!#$ to tak vypada??? precti si odstavec pred tim, tam to snad jasne rozdeluji...
no a abych ziskal tvoji session, nemusis byt uplne nutne online. staci abych vedel id tve session a ta byla jeste platna. zivotnost cookie me v tomto pripade nejak nezajima, i kdyz myslim, ze s tou zivotnosti nemas tak docela pravdu. php implementace identifikace session pouziva tusim pouze docasne cookies, takze jejich existence konci s uzavrenim okna prohlizece (urcite je to konfigurovatelne)...
m.s.
Ja se bavim vseobecne o cookies ne o cookies co vytvari session !!
zase to davas do jednoho pytle :-)
>Ja se bavim vseobecne o cookies ne o cookies co vytvari session !!
...ale vzdyt to je imho uplne jedno. cookie slouzi k jedinecne identifikovatelnosti browseru. a je uz jedno, jestli podle toho poznam komu patri ktera promenna nebo to jen pouziji pro uvitani vraceneho navstevnika...
cookies nejsou samospasitelne, ale pri vhodnem pouziti ti v mnohem usnadni zivot - zalezi na konkretnim pripade, co je vhodnejsi. kazdopadne cookie se v http pozadavku krade hure nez hodnoty predavane adresou :-)
>zase to davas do jednoho pytle :-)
...asi jo. takze na toto tema zatim koncim, at vas nemotam jeste vic... stejne mi uz zacina byt jasne, o co vlastne v tomto threadu jde :-)))))
m.s.
>stejne mi uz zacina byt jasne, o co vlastne v tomto threadu jde :-)))))
blbost. to jsem asi jeste spal. spravne melo byt napsano:
stejne mi uz zacina byt NEjasne, o co vlastne v tomto threadu jde :-)))))
nebo takto:
stejne mi uz PRESTAVA byt jasne, o co vlastne v tomto threadu jde :-)))))
m.s.
Aha, já myslel že jde o... Už nevím:o).
>at vas nemotam jeste vic
nikoho nemotas... mozna sam sebe... ja mam jasno a oba mirime do trosku jinych koncin... krom toho by to dal vedlo do slovickareni (jeste vic nez ted) a na to seru... pak totiz se totiz kazdy chyta nejake hlasky a rika ze je vsechno tak a tak .. jenom aby prosadil svoje
podivejtte na moje stranky o php http://exekuce.zde.cz
Zadnou zminku o php nevidim a jestli TOHLETO neni spam tak pak uz nevim teda co !!!!§§
nic nenabizi, lze a jeste dela reklamu
pak mi neco rikejte
jo jo, mas pravdu, ma to taky charakteristiku spamu... nejak sem uz nechodime mi trosky, ale uz je tady i plno spameru... fuuujjj.
;-)))
m.s.