- Nothing Phone (3a) és (3a) Pro - az ügyes meg sasszemű
- CMF Phone 2 Pro - a százezer forintos kérdés
- Fotók, videók mobillal
- Honor 400 - és mégis mozog a kép
- Motorola Edge 50 Neo - az egyensúly gyengesége
- Samsung Galaxy S25 - végre van kicsi!
- Apple iPhone 16 Pro - rutinvizsga
- Xiaomi 15 Ultra - kamera, telefon
- Okosóra és okoskiegészítő topik
- Mi nincs, grafén akku van: itt a Xiaomi 11T és 11T Pro
Új hozzászólás Aktív témák
-
CSorBA
őstag
Ezzel nem teljesen értek egyet, bár az is lehet, hogy én gondolom rosszul.
Szerintem a SESSION biztonságosabb, mint az adatbázis, de csak abban az esetben, ha védjük a SESSION id lopásától. (most tételezzük fel, hogy a szerveren teljesen védve van a sessiont tároló fájlrendszer)
Itt eleve pont ettől védem. Nézzük mi van a sessionunkban:
- ugye alapból van neki egy id-je
- userid (ha ez létezik, akkor be van lépve, illetve tudom, hogy kiről van szó)
- security_token - md5(IP-USERAGENT)Minden oldalletöltésnél legenerálom a felhasználóm (vagy támadóm) md5(IP-USERAGENT) hashét, és összehasonlítom a jelenlegi SESSION-ban security_tokenjével. Ha nem egyeznek, kidobom.
Ha ellopja a session id-t, akkor jó esetben el fog térni ez a security_token. És kidobom.
Emellett csinálhatom azt, amit Brown Ügynöknek írtam, hogy folyamatosan változtatom a SESSION id-t.
Most nem értem, miért kellene adatbázisban tárolnom? Ha ellopja az id-t, és még sikerült ugyanazon ip-t, user agentet is előállítania, akkor már olyan mindegy, hogy db-ből nézem, vagy sessionból. (de pont ezt fogom megakadályozni a folyamatos id váltással) Feleslegesnek érzem a táblás tárolást.
Az már más kérdés, hogy mi van akkor, ha folyamatosan váltom az id-t, és a támadom ÉPPEN elkapja a jót, épp belép, épp oldalt tölt le, és Ő fogja megkapni onnantól a valid id-t, és a felhasználómat vágja ki... Bár valljuk be, ennek nagyon kevés esélye van. Az alábbiaknak kellene teljesülni:
- Hálózati forgalom figyelésével, két oldalletöltés között elkapni a session id-t.
- Egy ip-ről lenni.
- Eltalálni a User agentet.
Új hozzászólás Aktív témák
- ÁRGARANCIA!Épített KomPhone Ryzen 7 9800X3D 32/64GB RAM RTX 5070Ti 16GB GAMER PC termékbeszámítással
- Apple iPhone 12 128GB, Kártyafüggetlen, 1 Év Garanciával
- Akció! Újra Gamer EGEREK! Glorious , Endgamer XM1R , Nibio
- 119 - Lenovo Legion Pro 5 (16ARX8) - AMD Ryzen 7 7745HX, RTX 4070 (48 hónap garancia!) (ELKELT)
- BESZÁMÍTÁS! ASRock B550M R5 5600 16GB DDR4 512GB SSD RX 6600 XT 8GB Kolink Observatory LM RGB 600W
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest