php/Session Variable Question

[Obelix]

Is using session variables for carrying crucial data potentially unsafe, i.e. can the user falsify the session data?

[nm]

хм.... лично я считаю безопасным , правда при условии, что сервере -- выделенный и никто больше н нему не имеет доступа. т.к. в противном случае безопасность определяется тем, может ли другой пользователь на serverside получить доступ к данным .


а сам пользователь -- а что он может изменить в session data без ведома программиста (при правильно написаных скриптах)? для надежности нужно проверять, что в течении сессии не поменялся ip пользователя . чтоб исключить возможность, что кто-то спер у пользователь session id и пытается получить доступ вместо законного пользователя

[Obelix]

Net, ya govoryu o drugom. U menya v sessionax derzhitsya user id. Tak kak sessioni peredayutsya cherez cookies, teoreticheski est' varyant podmenyat' etot user id, i zayti pod drugim imenem. Vopros tol'ko v tom, naskol'ko eto praktichno.

[Sauron]

ну ты держи не тока юзерайди но и юзернейм с пассвордом

[Forever Child]

Во время авторизации сделай себе отпечаток пальцев пользователя. Сажем привяжи его в IP (лучше возьми первые две цифры, ато после реконнекта на некоторых dial-up-ах IP сменится и кранты), версию браузера ну и какой-нибудь другой параметр, на свой вкус. Приплюсуй все это друг к другу, добавь к этому совершенно белибердовую строчку, закодируй все это ключом md5 и каждый раз проверяй на совпадение. А насчет сервера Гаспар уже сказал. Если к твои сессионным данным и коду никто доступа не имеет, то безопасно.

[nm]

Quote:

Originally Posted by Obelix

Net, ya govoryu o drugom. U menya v sessionax derzhitsya user id. Tak kak sessioni peredayutsya cherez cookies, teoreticheski est' varyant podmenyat' etot user id, i zayti pod drugim imenem. Vopros tol'ko v tom, naskol'ko eto praktichno.

по тем вопросам, которые вы задаете, я понимаю, что вы не поняли (ц)

тебя сразу послать rtfm или как ? ))))

через печенья передаются исключительно ID сессии - md5 строка. сразу тебе скажу, что легче х.. сломать, чем ее угадать. а все сессия, целиком и полностью, лежит по дефолту (на юниксе) в /tmp/sess_* файлах, в сериалайзнутом виде. и если к этим файлам доступа нету - то и сессия достаточно безопасна.а как предотвратить получения session ID другими - я уже писал.

[Obelix]

Quote:

Originally Posted by nm

по тем вопросам, которые вы задаете, я понимаю, что вы не поняли (ц)

тебя сразу послать rtfm или как ? ))))

через печенья передаются исключительно ID сессии - md5 строка. сразу тебе скажу, что легче х.. сломать, чем ее угадать. а все сессия, целиком и полностью, лежит по дефолту (на юниксе) в /tmp/sess_* файлах, в сериалайзнутом виде. и если к этим файлам доступа нету - то и сессия достаточно безопасна.а как предотвратить получения session ID другими - я уже писал.

Ок, в следующий раз лрив чштов посылать на ртфм, сорри и спасибо

Ну это собственно решает все, ниакаких сесс айди майди держать не нужно.

[nm]

завсегда пожалуйста посылать rtfm всегда люблю ))))

[Obelix]

Quote:

Originally Posted by nm

завсегда пожалуйста посылать rtfm всегда люблю ))))

этим и я нередко грешу ))))