Archief - PHP: sessies vraag

servi zei:

heel simpel te omzeilen door het feit dat de hacker niet zijn echt ip-adres gaat doorgeven.

Klik om te vergroten...

hoe kan hij weten welk ip hij moet 'simuleren' als dit versleuteld zit in de md5 hash? ik baseer mijn script op 2 'principes':

md5 is NIET te decoderen
én
de info die ik krijg uit de env vars is correct - dus het ip van waar het http request kwam dat ik doorgegeven krijg van apache - ik ga ervan uit dat da correct is, kweenie of da zo simpel te veranderen is om een ander ip te 'simuleren', im not realy into hacking

Zolang je geen inlogsysteem over SSL (https) gebruikt dan kan er altijd gefoefeld worden. Uw implementatie maakt dit al dan niet makkelijk of moeilijk.

*zie volgende post*

hoezo hoe kan hij dat weten ?
als hij de traffiek tussen de server en die client in het oog houdt, wees dan maar gerust dat die het IP kent van de gebruiker en het IP van de server.


het enige wat de hacker dan zou moeten doen is identiek dezelfde md5-hash sturen en als IP het ip van de gebruiker doorsturen.

Web session security is focused on preventing three types of attacks against session IDs: interception, prediction and brute-force attacks.
Encrypted communication effectively protects against interception. Using cryptographical strong pseudo-random number generators and carefuly chosen seeds that don't leak from the server prevents prediction of session IDs . Finally, session IDs are immune to brute-force methods if their effective bit-length is large enough with respect to the number of simultaneous sessions.

This approach, however, ignores one possibility: namely the possibility of the attacker "issuing" a session ID to the user's browser, thereby forcing the browser into using a chosen sesion. We'll call this class of attacks 'session fixation' attacks, because the users' session ID has been fixed in advance instead of having been generated randomly at login time.

In a session fixation attack, the attacker fixes the user's session ID before the user even logs nito the target server, thereby eliminating the need toobtain the user's session ID afterwards.

Meer van dit intressants hieeerrrrr (PDF)

Gevonden in deze thread:
http://www.sitepoint.com/forums/showthread.php?p=1129516

is dit een veilige maniet van login systeem in php ?

db met login en md5 paswoord per user

dan clientside:
paswoord invullen --> md5 encrypted (javascript) --> dan sessionid erachter plakken --> dan md5 en dat doorsturen

op server van een user het paswoord opvragen en dan sessionid erachter plakken --> dan md5 en daarmee vergelijken.

reden: niet steeds hetzelfde md5 geencrypteerde paswoord wordt overgezonden.

en dan in de session word de user, userlevel en dat paswoord waarmee vergeleken werd.

Wat denken jullie?

Enkele vragen om over na te denken :

Hoe gevoelig is je informatie en waarom zou een hacker het willen hacken.
Hoeveel tijd zou een hacker er willen insteken om het te hacken.
Hoeveel tijd/geld wil de firma er insteken om de gegevens te beschermen.

killgore zei:

sessies kunde niet vervalsen, aangezien de user enkel acces heeft tot de sessionid .

sessieid wordt in cookie gestoken of in url, enige controle die je kan doen is ip-check. (iets alla if($_SESSION['id'] == $_SERVER["REMOTE_ADDR"]) (en nie beginne krefte over proxies en zo, dit is een klein en simpel vb.)
Gebruik geen session_register, das voorbijgestreefd .

Klik om te vergroten...

O ja,
als je weet welke encrypty type is gebruik op sesie id kan je het wel kraken
Meestal md5
Een trukje om veiliger te maken is gebruik van mod rewrite.
Dommere hackers zullen heir al tegen de lamp lopen omdat de server de urls verandert