Citat:
Originally posted by Onkelborg@Jan 17 2008, 04:03
Vad spelar det för roll vad ni lägger för något i session? Ingen mer än er egen kod kommer ju kunna läsa vad som står där ändå..
|
Normalt sett, ja. Men rent generellt så bör man jobba enligt principen att all data (speciellt känslig data som lösenord etc.) enbart ska lagras i databasen, inte i sessioner och FRAMFÖR ALLT inte i cookies hos klienten.
Jag har t.ex. varit med om ett flertal gånger att man i delade miljöer/shared hosting har kunnat läsa sessionsfilerna på servern via ASP/PHP-script. Detta är såklart katastrof och en ren konfigurationsmiss, men likväl så bör man vara försiktig med vart man lagrar saker.
Många sidor har en automatisk inloggningfunktion (typ "kom ihåg mig") som bygger på att användarnamn och det hashade lösenordet ligger lagrat i en cookie hos klienten. Detta är en säkerhetsrisk eftersom man vid en XSS-attack kan sno cookie-informationen från besökarna.
Tillägg till mitt tidigare inlägg: Att hasha ihop id + ip funkar nog mindre bra eftersom det blir lite jobbigt att få fram "vem är jag" i så fall
Ska man låsa sessions till ett IP så får man helt enkelt spara IP-adressen separat.