Wpis z mikrobloga

Skopiuj link

16.02.2014, 16:42:38

#webdev #php Mireczki-programisty, spotkałem się dzisiaj z zagadnieniem kradnięcia sesji/sessio-hijacking. Wydaje mi się, że aby temu zapobiec należy co jakiś czas (np. 30 minut) użyć funkcji sessionregenerateid(). Czy to ma sens? Jak wy robicie?

G.....n

konto usunięte 16.02.2014, 16:46:19

@Zaszczyk: Powiąż sesję z adresem IP.

surma

16.02.2014, 16:47:37

@Zaszczyk: sprawdzaj odcisk przeglądarki oraz adres IP

z.....e

konto usunięte 16.02.2014, 16:48:09

@Zaszczyk: warto też ustawić flagę httpOnly by uchronić się atakami przez XSS.

handler

16.02.2014, 17:09:39

@Zaszczyk: zależy co masz na myśli, bo można kraść na źle skonfigurowanych shared hostach, a jeśli jakieś self-solution to ip +ewentualnie user agent

Zaszczyk

16.02.2014, 17:23:56

no dobra, mogę zapisywać jakiś odcisk i go sprawdzać. Ale gdy on się nie zgadza to wtedy logout czy sessionregenerateid()? @surma gdzie ustawić httpOnly? W ciastku? Korzystam z tego że sesje same tworzą ciastka.