Sikkerhet ved bruk av $_SESSION

[mikaelandre]

Jeg har et par spørsmål angående sikkerhet ved sessions i php.

 

1. Kan en bruker se hva som er lagret i sin session?

2. Kan en bruker se hva som er lagret i andres session?

3. Kan en bruker endre sin egen/andres session?

 

Hvis en bruker ikke får se noen sessions, og ikke kan endre noen, vil det ikke da være nok å sette $_SESSION['loggedin'] = true; ved login, så har du en meget enkel måte å verifisere brukere, uten å lagre unna bruker/pass osv. Hvis jeg leser $_SESSION['level'] = 'admin'; så vet jeg at det er satt av meg. eller?

[Ernie]

I utgangspunktet er det vel nei på alle sammen, men det er ingenting i vegen for at noen kan bruke en annens session. Derfor vil alikevel "$_SESSION['loggedin'] = true;" være milevis langt unna godt nok. Et absolutt minimum er IP og brukernavn/id.

[mikaelandre]

ja, jeg regney vel med dette, men kwn du si noe om hvorfor? skjer det pga bugs i php på serveren? eller må du ha en ondsinnet bruker som forsøker å ovrta andres session?

[genstian]

Er bare å stjele session id så har du alle sessionene.

 

Sjekk derfor med IP også (Som et minimum).

[mikaelandre]

men igjen, hva oppnår du vet stjeling av sessionid? du kan utgi deg for å være noen andre, men kan du også se hva som står der? om jeg har $_SESSION['hemmelig'] = 'hemmelig tekst'; kan noen da få tak i den?

[brsseb]

En session varer en viss tid (ca 20 min er vel standard), og man kan "hijacke" en session som en bruker har forlatt (men som ikke er død på serveren enda). Da må hackeren enten stjele nøkkelen som ligger lagret i brukeren nettlesers "cookie", eller snappe den opp på veien.

 

Et godt tiltak er som det nevnes, å lagre IP når bruker logger inn, og sjekke om den plutselig endrer seg midt under en session.