[danjel]

Annars spara sessionerna i databas, är väl det säkraste alternativet egentligen...

[robincox]

Citat:

Ursprungligen postat av danjel

Annars spara sessionerna i databas, är väl det säkraste alternativet egentligen...

Jag tror egentligen att mina sessioner är ganska säkra eftersom jag slumpar fram nya värden till dem varje gång en sida laddas. Exempelvis:

En admin loggar in, då skapas session['sessionsnamn'] = 'HyhjhH76h6h8JHgh6';
Han eller hon klickar på en länk i menyn, då slumpas det fram ett nytt värde i sessionen, det kan då t.ex. bli session['sessionsnamn'] = 'uih345hno6noUH97';

Så det går inte för en hacker att klura ut vilket värde session['sessionsnamn'] ska ha för att han/hon ska bli inloggad som admin.

Men det stör mig att jag måste ge publika skriv och körrättigheter på mappen som håller sessionerna.

[SimonP]

Citat:

Ursprungligen postat av robincox

Jag tror egentligen att mina sessioner är ganska säkra eftersom jag slumpar fram nya värden till dem varje gång en sida laddas. Exempelvis:

En admin loggar in, då skapas session['sessionsnamn'] = 'HyhjhH76h6h8JHgh6';
Han eller hon klickar på en länk i menyn, då slumpas det fram ett nytt värde i sessionen, det kan då t.ex. bli session['sessionsnamn'] = 'uih345hno6noUH97';

Så det går inte för en hacker att klura ut vilket värde session['sessionsnamn'] ska ha för att han/hon ska bli inloggad som admin.

Men det stör mig att jag måste ge publika skriv och körrättigheter på mappen som håller sessionerna.

Menar du att du byter session_id()? Det är ok och ökar säkerheten en del, men när du skriver session['sessionsnamn'] så ser det ut som du sätter en sessionvariabel. Att enbart sätta en slumpmässig sessionvariabel skyddar inte mot cookie-stealing (eller liknande sessionsstölder). Det är lika säkert att sätta $_SESSION['sessionsnamn']="ja" som att sätta $_SESSION['sessionsnamn']='uih345hno6noUH97'. Den variabeln som styr Admin-inloggningen ska man aldrig kunna ändra ifrån klientsidan ändå.

[danjel]

Som SimonP sa så ändrar du endast värdet på en session, vilket inte har med säkerheten att göra.
Det du nog vill göra som jag förstår är att använda session_regenerate_id();
det är bra för att hindra s.k "Session Fixation".

Annat man kan göra:
För att försvåra s.k "Session Hijacking", överväg att kolla om User-Agent ändras mellan olika requests, det bör den inte göra och det kan indikera att sessionen har "kapats".

ini_set("session.cookie_httponly", true); // stop XSS javascript cookie attacks for browers that support it
ini_set("session.use_only_cookies", true); // do not allow session_id in URLs


Annars så antar jag du använder ett webbhotell?
Skulle säga att då är det mer viktigt att använda databas sessioner om säkerhet bedöms som kritisk. Även om du har en egen filmapp för dina sessioner så tänk på att det enda som krävs för att få fram sessions id och därmed kunna "hacka" din site (i värsta fall inloggning med admin rättigheter) är åtkomst till den mappen.

[robincox]

Citat:

Ursprungligen postat av danjel

Annars så antar jag du använder ett webbhotell?
Skulle säga att då är det mer viktigt att använda databas sessioner om säkerhet bedöms som kritisk. Även om du har en egen filmapp för dina sessioner så tänk på att det enda som krävs för att få fram sessions id och därmed kunna "hacka" din site (i värsta fall inloggning med admin rättigheter) är åtkomst till den mappen.

chmod 703 borde ju då vara säker eftersom ingen person utifrån kan läsa i mappen.