login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Sessie aan pc koppelen

Offline barone - 18/03/2008 15:25
Avatar van baroneOnbekend Hoe kan ik een login sessie aan de user zijn pc koppelen?

I hoorde dat er ander makkelijk hijacking mogelijk is met bv: xss...

Nu is xss onmogelijk bij mij beveiliging is helemaal ok maar heb weining verstand van sessies, ik heb nu dat als de login goed gaat zet hij de sessie en unset hij bij uitloggen, ook heb ik een werkende login controle.

Hoe kan ik mijn sessie goed veilig maken?

10 antwoorden

Gesponsorde links
Offline XeriuM - 18/03/2008 16:39
Avatar van XeriuM Lid hint: IP...
Offline Ultimatum - 18/03/2008 17:56 (laatste wijziging 18/03/2008 17:57)
Avatar van Ultimatum PHP expert
XeriuM schreef:
hint: IP...

Maar met ip krijg je alleen het uitgaande ip en dus niet de echte pc's die erachter hangen in een netwerk. Dus als 5 mensen met hetzelfde ip naar die site gaan, dan koppel je de sessie dus niet aan de pc maar aan de router.

Het is dus niet mogelijk met php (dit is een sql trouwens), en als het mogelijk is dan moet je het met javascript doen aangezien het client side is ipv server side.
Offline XeriuM - 18/03/2008 18:31
Avatar van XeriuM Lid Ultimatum,

sinds wanneer gaat iemand vanaf je eigen lijn je session hacken?

Denk voortaan even na...
Offline Ultimatum - 18/03/2008 18:37 (laatste wijziging 18/03/2008 18:38)
Avatar van Ultimatum PHP expert Als je op bijvoorbeeld school zit dan heb je per ingelogde user een sessie toch, wie zegt dat je je eigen sessie wil hacken dan?

Dat "Denk voortaan even na..." mag je ook wel weglaten, probeer alleen maar te helpen..
Offline Sitebase - 18/03/2008 18:38 (laatste wijziging 18/03/2008 18:39)
Avatar van Sitebase PHP expert
XeriuM schreef:
Ultimatum,

sinds wanneer gaat iemand vanaf je eigen lijn je session hacken?

Denk voortaan even na...


Als jij inlogt op een website en ik die op het zelfde bedrijf werk zou ook naar die bepaalde website surfen, dan zou ik automatisch al ingelogd zijn met uw gegevens. Dat is dus niet de bedoeling.
Offline XeriuM - 25/03/2008 21:12
Avatar van XeriuM Lid Zelfde bedrijf... wanneer gaat iemand van 't zelfde bedrijf zijn collega hacken? Daarnaast komt dat je vaak een eigen IP hebt, zo niet... dan is 't een klein bedrijf waar geldt: ons kent ons

Denk even fatsoenlijk na, dweep!
Offline DMM - 25/03/2008 21:21 (laatste wijziging 25/03/2008 21:24)
Avatar van DMM PHP beginner
Citaat:
Zelfde bedrijf... wanneer gaat iemand van 't zelfde bedrijf zijn collega hacken?


Hoe kun je dat nu zo zeker weten? De bedoeling is om alle "hack-mogelijkheden" uit te sluiten en niet te rekenen op de goedaardigheid van de mensen.

Btw: 300ste forumreactie  
Offline Gerard - 25/03/2008 23:34
Avatar van Gerard Ouwe rakker Een sessie wordt standaard niet aan een ip gekoppeld. Wat XeriuM bedoelt is iets wat ik zelf ook altijd toepas. Ik sla namelijk altijd ook het ip adres van de gebruiker op in de sessie. Wanneer men dan namelijk de session hijacked controleert mijn script of het ip overeenkomst. Wanneer dat niet het geval is dan wordt gewoon de gebruiker uitgelogd.

Dat ziet er bij mij dan als volgt uit:
  1. if (isset($_SESSION['administrator']['username'], $_SESSION['administrator']['password'], $_SESSION['administrator']['ipaddress'])) {
  2.  
  3. $ipcheckResult = ($_SESSION['administrator']['ipaddress'] == $_SERVER['REMOTE_ADDR']);
  4. $loginResult = $administrator->login($_SESSION['administrator']['username'], $_SESSION['administrator']['password']);
  5.  
  6. if (!$ipcheckResult || !$loginResult) {
  7. unset($_SESSION['administrator']);
  8. }
  9.  
  10. }
Offline Threetimes - 26/03/2008 08:51
Avatar van Threetimes PHP beginner Zoals php zelf standaard doet, cookies.
De browser van de gebruiker bepaalt dan dat alleen jouw site de cookies kan lezen.

Mischien een combinatie van IP en cookies?
Offline XeriuM - 30/03/2008 21:40
Avatar van XeriuM Lid Proximus is cool, hij verwoordt precies wat ik bedoel! (ik heb 't dan ook van hem geleerd, haha.)
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.189s