Hirdetés

Új hozzászólás Aktív témák

  • Brown ügynök

    senior tag

    válasz CSorBA #11247 üzenetére

    Igen, cookie-ban érdemes tárolni a session id-t.

    Egy cookie-t sokféleképpen meg lehet szerezni, de úgy gondolom a hálózati forgalom figyelés nem éppen a legegyszerűbb módszerek közé tartozik. (Ha nem így lenne, valaki felvilágosíthat). Egyébként ez ellen jó védekezési forma a TLS (SSL).

    A User-Agent figyelni mindenképpen hasznos. Szerintem ezt sem olyan egyszerű kitalálni, hiszen van x darab op rendszer, y darab böngésző z darab verziószámmal. Mindezt egy munkameneten belül kell kitalálnia a támadónak! Ip címet figyelni tényleg nem a legjobb megoldás.

    Itt van egy nagyon jó összefoglaló a lehetséges támadásokról és ellenintézkedésekről: [link]

    Összefoglalva:

    - Gyakori session_id újragenerálás
    - munkamenet lejárati idő beállítása
    - User-Agent figyelése
    - HTTP_REFERER figyelése
    - kijelentkezés lehetőségét biztosítani
    - érzékeny adatok előtt ismételt azonosítás
    - titkosított kapcsolat

Új hozzászólás Aktív témák