login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Sessies encrypted? (Opgelost)

Offline maigel - 20/06/2008 07:40
Avatar van maigelPHP beginner Hoy,
Mijn inlog systeempje op mijn site werkt met sessies, als je inlogt wordt $_SESSION['id'] ingesteld op de id van de gebruiker in de mysql database.
Ik was nu aan het denken als er iemand een programma gebruikt om cookies aan te passen zou die zijn id kunnen veranderen en zo inloggen op iemand anders z'n account, toen ik dit probeerde zag ik dat in de cookie zoiets als dit stond
Citaat:
PHPSESSID=f18d2f3ed63e032d0d13bd53c386451a

Dus dat lijkt erop dat die encrypted is, is dat ook zo? of is dit makelijk te decrypten

7 antwoorden

Gesponsorde links
Offline Ontani - 20/06/2008 08:10
Avatar van Ontani Gouden medailleGouden medailleGouden medailleGouden medaille

-1
$_SESSION's worden niet opgeslagen op de lokale client. Enkel de sessionid waarvan die client gebruik maakt. Dus als je die cookie zou kopieren naar een andere pc krijgt die gebruiker juist dezelfde instellingen als diegene waar de cookie van komt. Niet echt veilig dus.
Offline Martijn - 20/06/2008 10:37
Avatar van Martijn Crew PHP daarbij, $_SESSION['id'] is niet hetzelfde als PHPSESSID ;)
Offline Godlord - 20/06/2008 11:45
Avatar van Godlord PHP gevorderde Maar PHP.net: session_id wel .
Offline maigel - 20/06/2008 12:41 (laatste wijziging 20/06/2008 12:42)
Avatar van maigel PHP beginner
DeviourSoul schreef:
daarbij, $_SESSION['id'] is niet hetzelfde als PHPSESSID ;)

dat weet ik wel maar ik dacht als je dit decrypt dat je mss de value van $_SESSION['id'] te weten kon komen

@Ontani
hoe kan ik dan wel een veiliger login scriptje maken?
Offline Martijn - 20/06/2008 12:51
Avatar van Martijn Crew PHP iemand vult een naam en wachtwoord in, indien correct word $_SESSION['id'] de waarde van dat persoon uit de DB. Daar is verder niets onveiligs aan (behalve dat je je textfields utieraard wel moet checken op valse code etc)

je PHPSESSIONID staat volledig los van de waardes die jij je session geeft 
Offline Gerard - 20/06/2008 15:20
Avatar van Gerard Ouwe rakker
Citaat:
@Ontani
hoe kan ik dan wel een veiliger login scriptje maken?


Ik sla altijd het ipadres van de 'eigenaar' van de sessie op in de sessie zelf. Elke pagina controleer ik dan of dat ipadres nog wel overeen komt. Wanneer dat niet zo is dan is iemand dus bezig met het hijacken van een sessie en destroy ik de hele sessie.
Offline maigel - 20/06/2008 17:42
Avatar van maigel PHP beginner
Proximus schreef:
[..quote..]

Ik sla altijd het ipadres van de 'eigenaar' van de sessie op in de sessie zelf. Elke pagina controleer ik dan of dat ipadres nog wel overeen komt. Wanneer dat niet zo is dan is iemand dus bezig met het hijacken van een sessie en destroy ik de hele sessie.


hmm simpele oplossing, dat ik daar nog niet aan gedacht had XD
Bedankt!
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.173s