[ mickey.co.ba @ 17.07.2008. 19:13 ] @
Da li je moguće nekoj osobi zapisati sessiju ili pročitati vrijednost sesije nekako hakanjem, ja kod sebe na localhostu kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta. znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.

ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...
[ 1r0nM4n @ 18.07.2008. 01:02 ] @
Citat:
kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan

Nije ništa šifrovano nego je to Session ID koji po default-u ima 32 random karaktera pa izgleda možda da je šifrovano. Ti možeš da staviš da ti tu piše i "pera" ako hoćeš..

Citat:
pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta

Misliš na nekog korisnika na nekom drugom sajtu.. Ako je to, onda može na neki način da ako sajt ima neki XSS vuln (google za više detalja).

Citat:
znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.

Sama sesija i njeni podaci jesu na serveru ali server mora da zna kom korisniku pripada određena sesija. Zato on zabeleži ID sesije kod korisnika u obliku "kolačića" (ili na neki drugi način ako je drugačije definisano) i kad korisnik opet pristupi sajtu, server pročita ID i korisnik opet ima svoju sesiju.

Citat:
ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...

Naravno. To je loša realizacija datog primera. Imaš na google dosta stvari o tome pa pogledaj: http://www.google.rs/search?hl=sr&q=php+login

p0z
[ Nemanja Avramović @ 18.07.2008. 08:20 ] @
Jesi siguran da su 32 random karaktera? Meni tih 32 "random" karaktera liči na md5 hash
[ mickey.co.ba @ 18.07.2008. 12:40 ] @
ok narode hvala na informacijama...
[ 1r0nM4n @ 18.07.2008. 15:06 ] @
Citat:
Nemanja Avramović: Jesi siguran da su 32 random karaktera? Meni tih 32 "random" karaktera liči na md5 hash :)

Čini mi se da sam negde ranije pročitao da nije MD5 iako izgleda tako. A ako je MD5, onda je to hash od nekoliko random karaktera. :)