Komentarze do wpisu 'Nie będzie notek :) session-handler' http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/ ostatni heretyk na katolickiej ziemi Thu, 03 Jul 2008 23:09:56 +0000 http://wordpress.org/?v=2.5.1 By: bela_666 http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-49 bela_666 Sun, 06 Nov 2005 10:02:57 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-49 90% czasu zajmuje 10% kodu :) 90% czasu zajmuje 10% kodu :)

]]> By: Michał 'Vengeance' Stanowski http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-41 Michał 'Vengeance' Stanowski Fri, 04 Nov 2005 19:57:02 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-41 | Kiedyś w starych wersjach mozilli z tego co wiem była opcje dzięki której można było podszyć się pod dany numer IP. Cuda jakieś wygadujesz :] | jeżeli ktoś ma wyłączone to przykro mi Tobie może tak... ja jednak dbam o te kilka procent, tak samo jak o tych z rozdzielczością 640x480 czy ludzi z przeglądarkami tekstowymi itd. itd. Tak jak powiedziałem, 100% bezpieczeństwa się nie osiągnie, więc wymyślanie że coś tam pozwalało na podszycie sie pod IP jest bezsensowne. Tak samo przecież ktoś sobie będzie sieć podsłuchiwał i kupa :] Dlatego ważne jest określenie poziomu bezpieczeństwa jaki jest konieczny dla danego skryptu/portalu bo nie zawsze musi to być coś w rodzaju Strefy 51 w Ameryce ;] | Kiedyś w starych wersjach mozilli z tego co wiem była opcje dzięki której można było podszyć się pod dany numer IP.

Cuda jakieś wygadujesz :]

| jeżeli ktoś ma wyłączone to przykro mi

Tobie może tak… ja jednak dbam o te kilka procent, tak samo jak o tych z rozdzielczością 640×480 czy ludzi z przeglądarkami tekstowymi itd. itd.

Tak jak powiedziałem, 100% bezpieczeństwa się nie osiągnie, więc wymyślanie że coś tam pozwalało na podszycie sie pod IP jest bezsensowne. Tak samo przecież ktoś sobie będzie sieć podsłuchiwał i kupa :] Dlatego ważne jest określenie poziomu bezpieczeństwa jaki jest konieczny dla danego skryptu/portalu bo nie zawsze musi to być coś w rodzaju Strefy 51 w Ameryce ;]

]]> By: MMP http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-40 MMP Fri, 04 Nov 2005 17:11:30 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-40 | ?Czyste? PHP tego nie zauważy i dojdzie do przejęcia sesji. W moim session handlerze nie wystarczy przekazać sesji w adresie potrzebne są też cookie(jeżeli ktoś ma wyłączone to przykro mi ale nie będzie mógł korzystać z systemu. Nie będe narażać na dziury w systemie przez pare procent ludzi) | lecz są bardzo dobrym sposobem na zwiększenie bezpieczeństwa danych Kiedyś w starych wersjach mozilli z tego co wiem była opcje dzięki której można było podszyć się pod dany numer IP. | ?Czyste? PHP tego nie zauważy i dojdzie do przejęcia sesji.
W moim session handlerze nie wystarczy przekazać sesji w adresie potrzebne są też cookie(jeżeli ktoś ma wyłączone to przykro mi ale nie będzie mógł korzystać z systemu. Nie będe narażać na dziury w systemie przez pare procent ludzi)
| lecz są bardzo dobrym sposobem na zwiększenie bezpieczeństwa danych
Kiedyś w starych wersjach mozilli z tego co wiem była opcje dzięki której można było podszyć się pod dany numer IP.

]]> By: normanos http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-39 normanos Fri, 04 Nov 2005 16:45:51 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-39 dzięki za porady. podoba mi się to blogowanie :) zasadności user_IP nie kwestionowałem. to własnie zrobiłem. user_agenta też mam aczkolwiek tego w pytaniach jeszcze nie używałem. po prostu spraqwdzam session_id i user_ip. wzorowałem sie na forach a tam tez nie widziałem co robia z tym user_agentem. może w innej częsci go wykorzystuja, w każdym razie sam handler w tych forach nie robił nic z user_agentem. dzięki za porady. podoba mi się to blogowanie :)

zasadności user_IP nie kwestionowałem. to własnie zrobiłem. user_agenta też mam aczkolwiek tego w pytaniach jeszcze nie używałem. po prostu spraqwdzam session_id i user_ip. wzorowałem sie na forach a tam tez nie widziałem co robia z tym user_agentem. może w innej częsci go wykorzystuja, w każdym razie sam handler w tych forach nie robił nic z user_agentem.

]]> By: Michał 'Vengeance' Stanowski http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-38 Michał 'Vengeance' Stanowski Fri, 04 Nov 2005 16:09:01 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-38 Po co IP i UserAgent? To główne czynniki dla których pisze się własny SessionHandler. Sam zauważyłeś, że PHP rozpoznaje sesje tylko po SessID. Często zdaża się, że nieświadomy użytkownik podając komuś link pozostawia także ów ID. "Czyste" PHP tego nie zauważy i dojdzie do przejęcia sesji. Napisanie własnego SessionHandlera wykorzystującego IP i UserAgent pozwala jeszcze bardziej zwiększyć bezpieczeństwo, poprzez dopuszczenie do danej sesji użytkownika mającego to samo IP i przeglądarkę. Można jeszcze z językami pokombinować etc. Ktoś wyżej napisał "user_ip w warunku where też jest nie potrzebne. Jak zrobiłbyś małego buga przez przpadek prawdopodobnie umożliwiło by to na bez problemowe zalogowanie sie na konto innej osoby z sieci zew." 100% bezpieczeństwa nigdy nie ma, ale uważam, że IP i UserAgent nie są zbędne jak twierdzisz, lecz są bardzo dobrym sposobem na zwiększenie bezpieczeństwa danych Po co IP i UserAgent? To główne czynniki dla których pisze się własny SessionHandler. Sam zauważyłeś, że PHP rozpoznaje sesje tylko po SessID. Często zdaża się, że nieświadomy użytkownik podając komuś link pozostawia także ów ID. “Czyste” PHP tego nie zauważy i dojdzie do przejęcia sesji.

Napisanie własnego SessionHandlera wykorzystującego IP i UserAgent pozwala jeszcze bardziej zwiększyć bezpieczeństwo, poprzez dopuszczenie do danej sesji użytkownika mającego to samo IP i przeglądarkę. Można jeszcze z językami pokombinować etc.
Ktoś wyżej napisał
“user_ip w warunku where też jest nie potrzebne. Jak zrobiłbyś małego buga przez przpadek prawdopodobnie umożliwiło by to na bez problemowe zalogowanie sie na konto innej osoby z sieci zew.”
100% bezpieczeństwa nigdy nie ma, ale uważam, że IP i UserAgent nie są zbędne jak twierdzisz, lecz są bardzo dobrym sposobem na zwiększenie bezpieczeństwa danych

]]> By: MMP http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-36 MMP Thu, 03 Nov 2005 21:23:04 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-36 Normanos też bym tak chciał, ale pisząc 2 godziny wychodze z siebie i ide jeść, a potem gdzieś znikam :D user_agent jest nie potrzebny, nawet do rozpoznawania botów. Bedzie Ci tylko zajmował miejsce w tak przeciążonej tabeli jakie są sesje. user_ip w warunku where też jest nie potrzebne. Jak zrobiłbyś małego buga przez przpadek prawdopodobnie umożliwiło by to na bez problemowe zalogowanie sie na konto innej osoby z sieci zew. :) Pochwal sie potem aplikacją ;) Pozdrawiam Normanos też bym tak chciał, ale pisząc 2 godziny wychodze z siebie i ide jeść, a potem gdzieś znikam :D

user_agent jest nie potrzebny, nawet do rozpoznawania botów. Bedzie Ci tylko zajmował miejsce w tak przeciążonej tabeli jakie są sesje.

user_ip w warunku where też jest nie potrzebne. Jak zrobiłbyś małego buga przez przpadek prawdopodobnie umożliwiło by to na bez problemowe zalogowanie sie na konto innej osoby z sieci zew. :)

Pochwal sie potem aplikacją ;)

Pozdrawiam

]]> By: Coroner http://normanos.com/2005/11/02/nie-bedzie-notek-session-handler/#comment-35 Coroner Wed, 02 Nov 2005 20:52:46 +0000 http://normanos.com/php/nie-bedzie-notek-session-handler/#comment-35 pisz pisz :) potem mnie nauczysz :D pisz pisz :) potem mnie nauczysz :D

]]>