Безопасность и сеансы(SESSION) / PHP, Perl, Python

ReSQL.ru

2.0.60

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Безопасность и сеансы(SESSION) / 3 сообщений из 3, страница 1 из 1

09.01.2017, 14:11

#39380850

Иванов Николай

Гость

Безопасность и сеансы(SESSION)

Добрый день!
Я сделал небольшой личный кабинет на своем сайте.
Для сохранения сеанса пользователя, я использую SESSION. Однако сейчас я начинался "страшилок" в интернете и меня стали грызть сомнения. Отсюда вопросы:
1. Данные в SESSION передаются в открытом виде или в "шифрованном"?
2. Если у меня идет SESSION[id]=5, для пользователя с id=5, то личный кабинет знает, что это пользователь с этим id. А может ли злоумышленник каким-то образом подменить значение и работать в личном кабинете по id=5(т.е. под Админом)?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

09.01.2017, 15:00

#39380888

Изопропил

Участник

Сообщения: 33 046
Рейтинг: 0 / 0

Безопасность и сеансы(SESSION)

Иванов Николай,

1) данные сессии клиенту не передаются и хранятся локально (по умолчанию - в файлах в специально отведённом месте)

2) идентификатор сессии во избежание описываемой ситуации - генерируется (MD5) на основании
ip адреса клиента,текущего времени, датчика случайных чисел

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

09.01.2017, 18:08

#39381009

vkle

Участник

Откуда: Самара
Сообщения: 14 253
Рейтинг: 0 / 0

Безопасность и сеансы(SESSION)

Добавлю
3) Идентификатор сессии передаётся в открытом виде. Ну, не считая HTTPS, конечно, где шифрование идёт на другом уровне.

Иванов НиколайА может ли злоумышленник каким-то образом подменить значение и работать в личном кабинете по id=5(т.е. под Админом)?Если злоумышленник попал на сервер и имеет доступ к выполнению кода - то может всё. Если злоумышленник стырил айди сессии у клиента, то, воспользовавшись этим айди он будет представлять этого самого клиента.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=23&mobile=1&tid=1460806]:	0ms
get settings:	10ms
get forum list:	20ms
check forum access:	4ms
check topic access:	4ms
track hit:	62ms
get topic data:	10ms
get forum data:	3ms
get page messages:	38ms
get tp. blocked users:	2ms
others:	261ms

total:	414ms