2. Fórumok
  3. Szoftverfejlesztés
  4. PHP programozás
  5. (kiemelt téma)

Új hozzászólás Aktív témák

  • #11247 CSorBA őstag Brown ügynök #11244
    Új Válasz #11247
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    CSorBA

    őstag

    válasz Brown ügynök #11244 üzenetére

    Még a sima, alap sessionnal lenne pár kérdésem.

    Ugye arról van szó, hogy a gépen a PHP SESSION id-jét egy sima Cookie-ban tárolja, pl:
    PHPSESSID=valamimd5szám

    És ugye a fő probléma, ha valaki megszerezné ezt az ID-t, akkor a támadó a belépett felhasználónak tudná magát mutatni. Jól értem, hogy ez az ID megszerezhető csupán a hálózati forgalom figyelésével? Vagy mindenképpen találgatós módszer van? (Lenne még több kérdésem, csak ezt tisztázni szeretném.)

    Mindenesetre a támadó dolgának megnehezítése az lenne, hogy a SESSION id-n kívül figyelem mondjuk az alábbiakat:

    - Figyelem a felhasználó UserAgentét.
    Ezzel csak az a bajom, hogy ezt sem túl nehéz kitalálni. Mondjuk legyen win7 vagy xp alatt legfrissebb Chrome vagy Firefox. Gondolom ebben semmi egyedi nincs, csak kb ennyi adatot tárol. Igaz? Pl.: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1 Itt kapásból itt vannak a legelterjedtebbek: [link]

    - A következő lehetőség, hogy figyelem a felhasználó IP címét.
    Ez egyértelmű, azonban még sem teljesen jó.: Mi van, ha mondjuk egy létesítményen belül van a támadó és a felhasználó, és a külső IP címük ugyan az.
    Illetve mi van, ha a felhasználó mobil eszközről van, és esetlegesen felváltva használ több hálózatot, így váltakozik az IP címe.

Új hozzászólás Aktív témák