Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Сессии и их безопастность
Покинул форум
Сообщений всего: 134
Дата рег-ции: Февр. 2012 Откуда: Тольятти
Помог: 2 раз(а)
[+]
Всем привет.
Писал сайт, только сейчас задумался о безопасности...
Авторизация происходит стандартным образом сверяются логин и пасс шифрованные по базе, если всё кул, то в сессию пихаем id юзера из базы и кое какую инфу...
допустим id юзера в базе = 3 пихаем в
//то соответственно какие то действия с бозой и т д
}
вот в чём прикол, можно же спереть из куки идентификатор сессии и зайти под пользователем с id = 3 ???!!!!
без особых усилий
если так то время жизни сессии ставить маленькоенебольшое? и каждый раз не просто вставлять id а шифровать id и добавлять новую сгенерированную строку??
----- Самое лучшее решение проблемы самое простое
Мелкий
Отправлено: 10 Апреля, 2014 - 18:45:19
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Сперва соприте чужую куку.
Если вам это удастся - весь мир в ваших руках.
----- PostgreSQL DBA
esterio
Отправлено: 10 Апреля, 2014 - 18:53:37
Активный участник
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
хм XSS как раз призван спереть куку
CORS AJAX на другой сайт с document.cookie;
Или невидимый iframe.
Но если фильтровать данные на входе и на выходе то такого не должно произойти.
А еще есть http_only в куках, что еще сильнее увеличивать сложность спереть куку.
Но есть же трояни всякые ...
IllusionMH
Отправлено: 10 Апреля, 2014 - 18:56:55
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
Даешь HTTPS (не забыть заапдейтить OpenSSL)
imper
Отправлено: 10 Апреля, 2014 - 19:03:45
Частый гость
Покинул форум
Сообщений всего: 134
Дата рег-ции: Февр. 2012 Откуда: Тольятти
Помог: 2 раз(а)
[+]
esterio - ну xss это дело старое, я через pdo к базе обращаюсь, и ещё и данные фильтрую, так что пускай хоть об xss'сятся D
IllusionMH - да уж, openssl от слова open, особенно после его "вседырчатости"... ды и денюжку он стоит
----- Самое лучшее решение проблемы самое простое
IllusionMH
Отправлено: 10 Апреля, 2014 - 19:12:26
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
imper, во-первых - openssl бесплатный, а во-вторых - баг, даже такой крупный - не показатель дырявости(а сколько багов/дырок в вашем коде?). в-третьих, не одним openssl едины.
И всё, капец куке. Когда браузер увидит что ему нужно забрать картинку, он полезет по указанному злому адресу за картинкой(подразумевается, что есть XSS уязвимость). А в файлике со злым скриптом достаточно будет сделать следующее:
А еще есть http_only в куках, что еще сильнее увеличивать сложность спереть куку.
Жаль, что не кроссбраузерно. Но использовать однозначно не помешает. (Добавление) Вывод:
1. Читаем что такое XSS атака
2. Находим решение на основе вышеуказанных ответов и применяем.
3. Не оставляем дырок.
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
IllusionMH
Описание из функции setcookie
php.net пишет:
httponly
Если задано TRUE, cookie будут доступны только через HTTP протокол. То есть cookie в этом случае не будут доступны скриптовым языкам, вроде JavaScript. Эта возможность была предложена в качестве меры, эффективно снижающей количество краж личных данных посредством XSS атак (несмотря на то, что поддерживается не всеми броузерами). Стоит однако же отметить, что вокруг этой возможности часто возникают споры о ее эффективности и целесообразности. Аргумент добавлен в PHP 5.2.0. Может принимать значения TRUE или FALSE.
Описание конфига для сессионных кук
php.net пишет:
session.cookie_httponly boolean
Отметка, согласно которой доступ к cookies может быть получен только через HTTP протокол. Это означает, что cookies не будут доступны через скриптовые языки, такие как JavaScript. Данная настройка позволяет эффективно защитить от XSS атак (к сожалению, эта функция поддерживается не всеми браузерами).
Такие же надписи как и у тебя (Сам везде тестил?) Я нет.. лень мне, а мануалу доверяю ;)
IllusionMH пишет:
openssl бесплатный
если не платить то это будет работать но браузер будет выдавать предупреждение что не удобно для пользователя - или я что то проспал?
но для личного пользования пойдет
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
teddy, а теперь найдите когда конкретно эти участки текста были обновлены в последний раз.
Подозреваю, что текст появился с релизом PHP 5.2 (релизнули 2.11.2006) - это уже устаревшая информация.
На странице OWASP есть инфа за конец 2011 года, которая говорит что этот параметр поддерживается. Причем в отличии от доки php, они заинтересованы в предоставлении достоверной инфы. (не говорю, что в доках php нагло врут, просто никто сломя голову не полезет обновлять эти строки с выходом очередной версии браузера)
И можно ссылку на стоимость OpenSSL? У меня есть подозрение, что в этой теме путают OpenSSL с SSL сертификатами.
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
IllusionMH пишет:
не говорю, что в доках php нагло врут, просто никто сломя голову не полезет обновлять эти строки с выходом очередной версии браузера
Даже если это так то не факт что все ходят на сайт с последними версиями браузера
IllusionMH пишет:
У меня есть подозрение, что в этой теме путают OpenSSL с SSL сертификатами.
Да сори. я сертификат имел ввиду, перепутал
IllusionMH
Отправлено: 10 Апреля, 2014 - 21:23:26
Активный участник
Покинул форум
Сообщений всего: 4254
Дата рег-ции: Февр. 2011 Откуда: .kh.ua
Помог: 242 раз(а)
teddy, товарищи которые сидят на ие6, опера9.5, хром 3, сафари3 и т.д. - сами себе враги. 2011 год - 99% поддерживают. Сегодня апрель 2014. Те версии браузеров уже вымерли естественным путем.
teddy
Отправлено: 10 Апреля, 2014 - 21:40:29
Участник
Покинул форум
Сообщений всего: 1462
Дата рег-ции: Апр. 2013
Помог: 91 раз(а)
IllusionMH
Ну насчет юзеров допотопных браузеров согласен, но тем не менее, такие есть и это уже говорит о том, что http_only не может работать везде - вот о чем я говорю Я ж не говорю что надо выкинуть эту возможность и не утверждаю что все пользуются IE6 и прочим старьем...
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.