FAQ |
Kalender |
2008-01-09, 21:18 | #11 | ||
|
|||
Har WN som tidsfördriv
|
Glömde tillägga att du bör använda moment som är unika för varje gång man loggar in.
Citat:
Hittade denna precis som jag tyckte var rätt värd att läsa http://www.brainbell.com/tutors/php/php_my..._hijacking.html Dock cookies |
||
Svara med citat |
2008-01-09, 21:24 | #12 | |||
|
||||
Flitig postare
|
Tack för alla synpunkter. Men nu börjar det bli många bollar i luften.
"Vad har det för betydelse om det är klartext då all sessionsdata lagras på serversidan?" Stämmer det att sessionsvariablen körs enbart på serversidan i ASP.NET ? för isf är det ju inget probelm alls. Eller? |
|||
Svara med citat |
2008-01-09, 21:27 | #13 | ||
|
|||
Har WN som tidsfördriv
|
Den ska enbart köras på serversidan... men om man som hackare registrerar sig själv på din sida och öppnar sin session (på något sätt) kan han ju ändra sina uppgifter till dina... dvs om han har id '10', kan han ju prova att ändra till '11' osv...
kass på ASP.NET, vet inte alls hur det fungerar. Men jag kan tycka att det är bra praxis att aldrig köra med saker i klartext. |
||
Svara med citat |
2008-01-09, 21:29 | #14 | ||
|
|||
Mycket flitig postare
|
Citat:
Du bör ju designa alla SQL-frågor så att dom är i stil med "DELETE FROM tabell WHERE user = '" . $_SESSION['id'] . "' LIMIT 1". |
||
Svara med citat |
2008-01-09, 21:30 | #15 | ||
|
|||
Har WN som tidsfördriv
|
absolut alltså jag skrev '10' som exempel, vilket $_SESSION['id'] innehåller.
Alla har sina egna sätt att programmera så är det bara. Personligen kör jag aldrig i klartext på något. |
||
Svara med citat |
2008-01-09, 21:31 | #16 | ||
|
|||
Mycket flitig postare
|
Citat:
Kommer en person över din sessions-cookie eller på annat sätt får reda på ditt sessions-id så kommer han att kunna ta över din session, såvida den inte är knuten till IP-adressen. |
||
Svara med citat |
2008-01-09, 21:34 | #17 | ||
|
|||
Har WN som tidsfördriv
|
IP är osäkert, men bättre än inget... går dock att spoofa ip adresser.
EDIT* Klippt bort vissa delar pga feltänk av mig. |
||
Svara med citat |
2008-01-09, 21:39 | #18 | ||
|
|||
Mycket flitig postare
|
Citat:
En användare kan aldrig ändra sitt värde i sessionen, och kommer alltså aldrig kunna radera något annat än sin egen data. Såvida inte personen lyckas köra egna SQL-satser via något annat hål som inte har med sessionshantering att göra. |
||
Svara med citat |
2008-01-09, 21:41 | #19 | ||
|
|||
Har WN som tidsfördriv
|
ajajaj... ignorera delar av vad jag skrivit. Har suttit med POST och GET i huvudet medans det handlade om sessioner. Dessa kan du ändra hejvillt och på så sätt själv bestämma vad som ska skickas till SQL-satsen.
Jag står dock fast vid att aldrig köra något i klartext. |
||
Svara med citat |
2008-01-09, 21:46 | #20 | ||
|
|||
Mycket flitig postare
|
Citat:
Men den grundläggande säkerheten ska ändå vara att SQL-frågan matchar på både user (sessions-id) och databas-raden som kommer via GET. Gör man det så behövs ingen kryptering av datan på querystringen. Kryptering av "GET-värden" kan skydda om du t.ex. inte skyddat dig mot SQL-injections överallt. |
||
Svara med citat |
Svara |
|
|