[ Spiridon64 @ 03.06.2008. 10:55 ] @
Nekoliko pitanja:

- Da li zna neko za neki opširniji tekst o bezbednosti session varijabli (na engleskom ili srpskom)?
- Koji je najbezbedniji način rukovanja ulogovanih korisnika (npr. da li je pametno staviti korisnički ID i jednosmerni hash lozinke u session pa da se vrši autentikacija svaki put kad se naiđe na limitirane sadržaje?; ili da se unikatni session hash stavi u bazu zajedno sa IP-om pa da se čita odatle?)
- Da li je na neki način moguća injekcija session varijabli, ili session-i rade isključivo sa serverske strane pa pitam glupost? :)

Naišao sam na jednu PHP klasu za autentikaciju gde skripta jednostavno postavi $_SESSION['logged_in'] = 1 i rešena je autentikacija... Pitam se da li je to bezbedno?
[ Spiridon64 @ 16.10.2009. 00:36 ] @
Naišao sam ponovo na ovu temu, a otad sam već na drugim mestima dobio odgovore, pa se izvinjavam duplom postu. Možda nekome posluži...

1. Metode koje sam našao za izigranje sessiona su Session fixation, Session poisoning i Session hijacking:

http://en.wikipedia.org/wiki/Session_fixation

http://en.wikipedia.org/wiki/Session_poisoning

http://en.wikipedia.org/wiki/Session_hijacking

2. Upoređivanje Session ID-a, IP-a, i jednosmernog hash-a passworda smeštenu Session varijablu, kombinovano sa češtim menjanjem (ukoliko je moguće) Session ID-a bi trebalo da bude dovoljno bezbedno

3. Vidi linkove pod odgovorom 1.

4. $_SESSION['logged_in'] = 1 nije najbezbednije, ali je moguće rešenje.

I dalje me veoma interesuje mišljenja iskusnijih!