login  Naam:   Wachtwoord: 
Registreer je!
 Forum

veilige sessies

Offline cloudstrife - 11/03/2008 13:49
Avatar van cloudstrifePHP beginner Heeft iemand ervaring en tips met het implementeren van een eigen sessie systeem? Dus om niet langer de sessions van php gebruiken... Op wat baseren jullie zich om de sessies per gebruiker identiek te houden ook als je achter proxy en zo zit?

3 antwoorden

Gesponsorde links
Offline ikkedikke - 11/03/2008 16:12
Avatar van ikkedikke PHP expert Normaal gesproken zijn sessies niet ip-afhankelijk, maar krijgt de gebruiker een cookie met de naam van zijn sessie. Het nadeel van mensen achter een proxy is echter dat verkeer makkelijk afgeluisterd en nagemaakt kan worden. (Maar hey, daar kiezen ze zelf voor)
Een oplossing daarvoor is om alles over https te sturen.

Een tweede risico is wanneer meerdere sites/beheerders hun sessies opslaan in dezelfde map. Wat dan zou kunnen gebeuren is dat een kwaadwillende gebruiker van jouw server een sessie kan maken en die sessie in jouw site openen.
Hij heeft dan volledige controle over de inhoud van de sessie. Een oplossing is om je sessies in een eigen map op te slaan.

Over het algemeen zijn sessie's van php dus helemaal niet onveilig. Alleen wanneer de omstandigheden anders zijn kan het problemen opleveren.
Offline cloudstrife - 11/03/2008 17:25
Avatar van cloudstrife PHP beginner Ik heb het meer op een eigen manier om de gegevens op te slaan, via een database of zo. Dus geen gebruik maken van het ingebouwde sessie systeem van php.
Offline Aar - 11/03/2008 19:21
Avatar van Aar PHP interesse Ik heb een eigen sessiehandler gebouwd voor een project van mij (http://multisess.clayweb.nl). De reden hiervoor is dat ik de gebruikers zelf wil laten kiezen om bepaalde sessies uit te kunnen laten loggen voor extra veiligheid.

De sessies zijn niet standaard aan een IP gekoppeld en werken met cookies waarin een id en random md5() hash staat. En met een extra optie kan je het vastmaken aan IP's zodat je meer zekerheid hebt dat je gevreesde collega niet met je cookie aan de haal gaat thuis om op je account te klooien.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.169s