|
|
|
Безопасность и сеансы(SESSION)
|
|||
|---|---|---|---|
|
#18+
Добрый день! Я сделал небольшой личный кабинет на своем сайте. Для сохранения сеанса пользователя, я использую SESSION. Однако сейчас я начинался "страшилок" в интернете и меня стали грызть сомнения. Отсюда вопросы: 1. Данные в SESSION передаются в открытом виде или в "шифрованном"? 2. Если у меня идет SESSION[id]=5, для пользователя с id=5, то личный кабинет знает, что это пользователь с этим id. А может ли злоумышленник каким-то образом подменить значение и работать в личном кабинете по id=5(т.е. под Админом)? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.01.2017, 14:11 |
|
||
|
Безопасность и сеансы(SESSION)
|
|||
|---|---|---|---|
|
#18+
Иванов Николай, 1) данные сессии клиенту не передаются и хранятся локально (по умолчанию - в файлах в специально отведённом месте) 2) идентификатор сессии во избежание описываемой ситуации - генерируется (MD5) на основании ip адреса клиента,текущего времени, датчика случайных чисел ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.01.2017, 15:00 |
|
||
|
Безопасность и сеансы(SESSION)
|
|||
|---|---|---|---|
|
#18+
Добавлю 3) Идентификатор сессии передаётся в открытом виде. Ну, не считая HTTPS, конечно, где шифрование идёт на другом уровне. Иванов НиколайА может ли злоумышленник каким-то образом подменить значение и работать в личном кабинете по id=5(т.е. под Админом)?Если злоумышленник попал на сервер и имеет доступ к выполнению кода - то может всё. Если злоумышленник стырил айди сессии у клиента, то, воспользовавшись этим айди он будет представлять этого самого клиента. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.01.2017, 18:08 |
|
||
|
|
start [/forum/topic.php?fid=23&msg=39380888&tid=1460806]: |
0ms |
get settings: |
10ms |
get forum list: |
12ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
36ms |
get topic data: |
10ms |
get forum data: |
3ms |
get page messages: |
43ms |
get tp. blocked users: |
1ms |
| others: | 300ms |
| total: | 421ms |
| 0 / 0 |
