Új hozzászólás Aktív témák

• #11251 mobal nagyúr CSorBA #11247

  Új Válasz 2012-09-19 09:39:18 #11251

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  mobal

  nagyúr

  válasz CSorBA #11247 üzenetére

  Fogod a felhasználó ip címét meg mondjuk a user agentet, majd hasheled. Eltárolod az adatbázisban és összehasonlítod a kettőt. Ha ok akkor tovább engeded, ha nem akkor pedig kilépteted erőszakosan. Én így oldottam meg.

• #11249 Brown ügynök senior tag CSorBA #11247

  Új Válasz 2012-09-19 09:26:10 #11249

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Brown ügynök

  senior tag

  válasz CSorBA #11247 üzenetére

  Igen, cookie-ban érdemes tárolni a session id-t.

  Egy cookie-t sokféleképpen meg lehet szerezni, de úgy gondolom a hálózati forgalom figyelés nem éppen a legegyszerűbb módszerek közé tartozik. (Ha nem így lenne, valaki felvilágosíthat). Egyébként ez ellen jó védekezési forma a TLS (SSL).

  A User-Agent figyelni mindenképpen hasznos. Szerintem ezt sem olyan egyszerű kitalálni, hiszen van x darab op rendszer, y darab böngésző z darab verziószámmal. Mindezt egy munkameneten belül kell kitalálnia a támadónak! Ip címet figyelni tényleg nem a legjobb megoldás.

  Itt van egy nagyon jó összefoglaló a lehetséges támadásokról és ellenintézkedésekről: [link]

  Összefoglalva:

  - Gyakori session_id újragenerálás
  - munkamenet lejárati idő beállítása
  - User-Agent figyelése
  - HTTP_REFERER figyelése
  - kijelentkezés lehetőségét biztosítani
  - érzékeny adatok előtt ismételt azonosítás
  - titkosított kapcsolat

Új hozzászólás Aktív témák