Új hozzászólás Aktív témák

• #11247 CSorBA őstag Brown ügynök #11244

  Új Válasz 2012-09-19 08:40:30 #11247

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  CSorBA

  őstag

  válasz Brown ügynök #11244 üzenetére

  Még a sima, alap sessionnal lenne pár kérdésem.

  Ugye arról van szó, hogy a gépen a PHP SESSION id-jét egy sima Cookie-ban tárolja, pl:
  PHPSESSID=valamimd5szám

  És ugye a fő probléma, ha valaki megszerezné ezt az ID-t, akkor a támadó a belépett felhasználónak tudná magát mutatni. Jól értem, hogy ez az ID megszerezhető csupán a hálózati forgalom figyelésével? Vagy mindenképpen találgatós módszer van? (Lenne még több kérdésem, csak ezt tisztázni szeretném.)

  Mindenesetre a támadó dolgának megnehezítése az lenne, hogy a SESSION id-n kívül figyelem mondjuk az alábbiakat:

  - Figyelem a felhasználó UserAgentét.
  Ezzel csak az a bajom, hogy ezt sem túl nehéz kitalálni. Mondjuk legyen win7 vagy xp alatt legfrissebb Chrome vagy Firefox. Gondolom ebben semmi egyedi nincs, csak kb ennyi adatot tárol. Igaz? Pl.: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1 Itt kapásból itt vannak a legelterjedtebbek: [link]

  - A következő lehetőség, hogy figyelem a felhasználó IP címét.
  Ez egyértelmű, azonban még sem teljesen jó.: Mi van, ha mondjuk egy létesítményen belül van a támadó és a felhasználó, és a külső IP címük ugyan az.
  Illetve mi van, ha a felhasználó mobil eszközről van, és esetlegesen felváltva használ több hálózatot, így váltakozik az IP címe.

Új hozzászólás Aktív témák