Sikre sig at sessions ikke bliver ændret

Du kan gemme forskellige oplysninger om brugeren. F.eks. browsernavn, version, hans ip adresse, etc. Hvis det ikke passer, så skal han bare nægtes adgang.

Men er det en bruger, som sidder på samme netværk som den, han vil udnytte, og dermed kan sniffe trafikken, så er problemet lidt et andet.

Jeg har tænkt på at gemme oplysninger om dem der er logget ind i databasen, men vil det ikke give problemer, når de skal logge ind næste gang evt fra et andet sted.

Man kan ikke ændre sessions, det er umuligt uden at "stjæle sessionen" fra en anden bruger, formodentligt ved at snuppe cookie med sessionID fysisk fra pc.

Sessions ligger på serveren og referencen er en cookie (eller query/form baseret) og kan ikke ændres af klienten uden sårbar kode. Men man kan stæle andres.

jokkejensen, Det er ikke umuligt. Det kaldes session hijacking (eller sidejacking)... Det kan også lade sig gøre med cross site scripting (XSS) og selvfølgelig som du selv skriver, ved fysisk adgang...

Du kan sikre dig (bedre) imod sidejacking og hijacking ved at lave din session key lang - Derudover bør du regenerere session id regelmæssigt (se session_regenerate_id)

Tak!

Jeg har lavet følgende i toppen af koden:

    $session_data = $_SESSION;
   
    $_SESSION = array();
   
    if (isset($_COOKIE[session_name()]))
        setcookie(session_name(), '', time()-42000, '/');
   
    session_destroy();
   
    session_start();
    session_regenerate_id(TRUE);
   
    $_SESSION = $session_data;


Går ud fra det var sådan noget du mente?

Nå ja, så har jeg valgt at kryptere følsomme sessions

lukker