Ueland Skrevet 20. april 2004 Del Skrevet 20. april 2004 Ja, en session er unik til noen tar over den ved å få id'en. Det står til og med i PHP manualen at SSL er en god løsning for å beskytte sessionen.hvis man da for eks sjekker det opp mot en cookie og så bør man kunne være sikker nok for "normalt" bruk Lenke til kommentar
simenss Skrevet 20. april 2004 Del Skrevet 20. april 2004 Hvordan gjør de det som ikke har "normal" bruk da? Er bare nysgjerrig Lenke til kommentar
Ueland Skrevet 20. april 2004 Del Skrevet 20. april 2004 Hvordan gjør de det som ikke har "normal" bruk da? Er bare nysgjerrig ved bruk av cookies etc så må du bla få tak i (i mine øyne) bla cookien, nettleseren, samme ip samt og få tak i sessionen på serveren. Dette avhenger jo selfølgelig av hvordan du har satt opp ting. _MEN_ går man inn for å cracke et system så vil man nok klare det på en eller annen måte, skal jo ikke mer til enn en keysniffer på en maskin.. Lenke til kommentar
simenss Skrevet 21. april 2004 Del Skrevet 21. april 2004 Men bankler osv. da? De er jo helt avhegig av å ha 100% sikker innlogging. Lenke til kommentar
???????? Skrevet 21. april 2004 Del Skrevet 21. april 2004 En mulighet er å legge til ip og browsertype i sessionen og sjekke disse variablene slik at ikke andre kan ta over sessionen. Videre har de SSL, slik at trafikken mellom serveren og browseren er kryptert. Det finnes mange gode forslag til hvordan man kan forbedre sessions. Mange banker har nok sine egene session handlers, slik at de ikke bruker session funksjonen - men lagrer alt i en database. De fleste egene session handlers bygger på ip adresse - det er en av grunnene til at jeg ikke fraråder bruken av ip adresse - for mange av disse systemene fungerer veldig godt. En bra løsning er å lage en egen logginn tabell også hvor du lagrer all info om brukeren som browser og ip. I tillegg til å sjekke variablene i sessionen sjekker du variabelene i tabellen også. Ved å sette opp en slik tabell for du også oversikt over når de har logget seg inn, og info som ip, slik at du har mulighet til å finne ut "hvem" som har logget seg på hvis det skulle vise seg at noen har fått tak i brukernavnet og passordet til en registrert bruker. De fleste sider kan nok "ofte" bruke sessions uten å måtte legge til ekstra sikkerhetsfunksjoner - sessions er ikke så ille. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå