Безопасность при использовании сессии?

Question

[7a-666]

В общем делаю в портфолио интернет магазин и там есть личный кабинет и при входе или регистрации я запускаю сессию со значениями пользователя в бд а именно там есть id, логин, пароль (зашифрованный) насколько я знаю если создать куки для этого то можно поменять скажем id и оказаться на чужом аккаунте так вот есть ли что-то подобное с сессиями насколько безопасна моя сессия поделитесь опытом как это лучше сделать

Comments

[Максим Грищенко]

как вы собрались подменять куку?

[Somewhere Intech]

Максим Федоров, есть атаки

[Максим Грищенко]

Johnny Lowhunter, вы на другой вопрос отвечаете :)

[Максим Грищенко]

Johnny Lowhunter, по вашей ссылке касательно кук есть рецепты:

Second, set a few php.ini settings to further increase security:

• session.cookie_secure: makes sure the browser only sends the session cookie in secure HTTPS requests.
  
• session.cookie_httponly: stops JavaScript from accessing the session cookie, preventing common XSS attacks.
  
• session.use_only_cookies: enabling this protects against Session Fixation attacks.
  
• session.use_trans_sid: disabling this also helps protect against Session Fixation attacks
  

.

В целом статья очень полезная

Answer 1

[Somewhere Intech]

ищите по ключам php session injection
Вот, например

Answer 2

[xmoonlight]

1. Привяжите идентификатор сессии через fingerprint ("отпечаток" клиента) к клиенту (браузеру), захешируйте (никакого шифрования!) через серверную "соль" и сохраните на клиенте в куках.
2. Затем, проверяйте этот идентификатор при смене IP-адреса внутри этой сессии, запросив реальный "отпечаток" и его хеш из куков, и проверьте то, что сохранено в сессии на стороне сервера: несовпадение - это чужой! ;)

Итог: Если кто-то подменит куки, он никак не узнает реального "отпечатка" клиента и ничего не сможет сделать с украденными куками с чужим аккаунтом.

Comments

[FanatPHP]

Ты сам-то свой совет пробовал применять?

[xmoonlight]

FanatPHP, Волнуешься за меня? ;)

[FanatPHP]

Да, я переживаю за душевное здоровье похапешников.
Которые живут в воображаемом мире и дают советы, которым никогда сами не следуют.
Потому что если вдруг последуют, то сразу от пользователей таких жалоб огребут полную панамку, что враз забудут про свои прекраснодушные теории

[xmoonlight]

FanatPHP, аргументы - хде?

[FanatPHP]

Ты уже скушал мой аргумент. И начал кривляться, что говорит о стопроцентном попадании.

[xmoonlight]

FanatPHP, Клоун!)

Answer 3

[FanatPHP]

Ответы все конечно ад кромешный.

если создать куки для этого то можно поменять скажем id и оказаться на чужом аккаунте так вот есть ли что-то подобное с сессиями

нет

насколько безопасна моя сессия

вполне безопасна. для этого сессии и придуманы

Comments

[xmoonlight]

вполне безопасна. для этого сессии и придуманы

Хороший пример ответа без какого-либо понимания процесса и без аргументации.

[FanatPHP]

Для этого мальчика аргументация не нужна.
Ему достаточно знать что сессия прекрасно работает и настолько безопасна, насолько безопасен весь сайт.
И отсутствие аргументации уж точно лучше притянутых за уши влажных эротических фантазий в качестве таковой.

[Vitsliputsli]

xmoonlight, можно, конечно, добавить аргументации. Автор спросил "если я положу id пользователя в куку, то его там могут поменять и получить доступ к другому аккаунту, безопасно ли в этом плане положить id в сессию?", ответ будет: Да, безопасно, потому что сессии в отличии от кук хранятся на сервере. А потом уже, можно поразмышлять о хищении куки сессии и что безопасность может гарантировать только отключение от интернета, и то не всегда...
Ну серьезно, автор делает интернет-магазин для портфолио, а ему задвигают про JWT с асинхронным шифрованием и электронные отпечатки... Вы реально считаете, что он сейчас пойдет все это реализовывать?

[xmoonlight]

Vitsliputsli, я считаю, что:
1. Он учится и учить нужно сразу правильно.
2. Другие - будут смотреть на его портфолио и на реализацию аутентификации в плане безопасности.

[FanatPHP]

xmoonlight, дадад и это протфолио будет состоять из карго культ кода, который он не понимает, никогда не пробовал использовать в реальном приложении. а добавил только потому что ему диванные теоретики с форума посоветовали.

[xmoonlight]

FanatPHP, и как же он добавит такой "карго культ код", если не понимает?
Ему же надо будет понять прежде, чем закодить и потом ещё проверить.
Все подобные твои выкладки и нападки - никак тебе не помогут скрыть твои незнания.

[FanatPHP]

xmoonlight, Я почему-то думал что ты в отличие от многих "кураторов" обычно понимаешь, о чем говоришь.
Но теперь вижу, что ошибался.
То есть прием всех нубов "скопипастить готовый код и надеяться, что заработает, а если не заработает то бежать на тостер, скопипастить ответ и расслабиться" ты называешь "чтобы закодить надо понять".
Про "протестировать" я уж молчу. Нормально протестировать не всякий опытный прогер в состоянии, а обычно похапешнички тестируют как в том анекдоте.
Ну ок, буду знать

[xmoonlight]

FanatPHP, Портфолио класть на паблик без проверки работоспособности кода - минимум, глупо.
А чтобы скопипастить - нужен код, который я не давал.

[Vitsliputsli]

xmoonlight,

Vitsliputsli, я считаю, что:
1. Он учится и учить нужно сразу правильно.
2. Другие - будут смотреть на его портфолио и на реализацию аутентификации в плане безопасности.

Абсолютно согласен. Но любое обучение должно быть методично и последовательно. От простого к сложному, иначе ничего не получится. Автор только что понял, что клиент может делать что угодно с кукой и задал вопрос в этом плане о сессии, почти никто не ответил ему конкретно, а накидал адову кучу информации, по-сути бесполезной по вопросу на данном этапе.
В другой теме автор хочет изучать линукс, а ему настоятельно советуют ставить эту ОС без GUI и все настраивать самому. Что получится от таких советов? Да, ничего, только крики в адрес вопрошавших "неосилил".
Я не собираюсь спорить, просто прошу прислушаться, потому как, имхо, зачастую более 70% ответов просто понты и желание покрасоваться, а не попытка помочь.

[xmoonlight]

Vitsliputsli, Скажу так: автор спросил - я ответил.
Если это сложно для автора - он может спросить уточнение или сам понять логику в моём ответе, самостоятельно почитав нужный материал.

Но любое обучение должно быть методично и последовательно. От простого к сложному, иначе ничего не получится.

Вы точно уверены, что это адресовано не к автору, а ко мне? И что автор - этого не понимает без Вашей помощи? ;)

Автор только что понял, что клиент может делать что угодно с кукой и задал вопрос в этом плане о сессии, почти никто не ответил ему конкретно, а накидал адову кучу информации, по-сути бесполезной по вопросу на данном этапе.

Что Вы имеете ввиду под словом "конкретно"? Механизм работы сессии или что-то иное? И почему Вы тогда не ответили "конкретно"?

Я не собираюсь спорить, просто прошу прислушаться, потому как, имхо, зачастую более 70% ответов просто понты и желание покрасоваться, а не попытка помочь.

И я тоже. Просто дам Вам понимание Вашего поведения.
Вы немного путаете способность Вашего личного обучения и понимания ответов с возможностями аудитории и оцениваете непонятные для Вас ответы подобным образом. Возможно, Вам следует поднять свой технический уровень образования, чтобы полностью понимать большинство ответов и грамотно отсеивать информацию от "понтов" (как Вы упомянули).

[Vitsliputsli]

xmoonlight,

Вы немного путаете способность Вашего личного обучения и понимания ответов с возможностями аудитории и оцениваете непонятные для Вас ответы подобным образом. Возможно, Вам следует поднять свой технический уровень образования, чтобы полностью понимать большинство ответов и грамотно отсеивать информацию от "понтов" (как Вы упомянули).

Я вас не обвинял в "понтах", иначе бы писал совсем по-другому. Но раз так "бомбануло" значит зацепило, значит попало в цель. И этой фразой вы просто подтвердили, что я писал выше, вы из тех, кто пишет ради того, чтобы показать свой "высокий технический уровень образования", а понимает вас кто-то, помогает это кому-то - вам плевать. Ведь это личные проблемы обучения, так вы написали... Мы все должны быть благодарны, что такой "гуру" вообще снизошёл до общения с простыми смертными?..
Поверьте, технический уровень образования никак не связан с преклонением перед вами. Поэтому желаю вам побороть ваши комплексы и внутреннюю неуверенность, и увидите, что перестанете кидаться на людей без причины.

[xmoonlight]

Vitsliputsli, Вы ОПЯТЬ перевернули смысл моего высказывания с "ног на голову".
Что только подтверждает мои слова, к которым я советую Вам прислушаться.

[Vitsliputsli]

xmoonlight, простите, но советовать человеку, которого не знаешь "Вам следует поднять свой технический уровень образования", просто потому что он с тобой не согласился, можно только от небольшого ума. Вы зря думаете, что подобное общение придаст вес вашим словам, скорее наоборот. На работе, на джуниоров будете давить авторитетом, здесь болтовня без аргументации остаётся болтовней.

Answer 4

[Антон Неверов]

Лучше всего использовать методологию JWT. - где все данные о пользователе лежат внутри cookie в BASE64.

Хорошее видео про эти токены.

Есть и другие подходы и методологии токенов, но они мне явно нравятся меньше, поэтому коварно умолчу о них. Если интересно - гуглите "Методы авторизации".

Comments

[7a-666]

Большое спасибо:)))

[Антон Неверов]

Johnny Lowhunter, ну вот вы почитайте и узнаете. Само собой, данные не просто лишь в BASE64. Они имеют подпись секретным ключом, который может проверить только лишь ваш сервер.

[xmoonlight]

Антон Неверов, ...или тот, кто подобрал секретный ключ сервера...

[Антон Неверов]

xmoonlight, подобрать его проблемно. Со временем он протухает, есть перевыпуск, есть отзыв при попытке подбора. Если кому это и удастся - то уж точно не ради "проекта для портфолио".

[xmoonlight]

Антон Неверов, если есть доступ к кукам и к структуре токена (т.е., понятно, что это JWT), то доступ к алгоритму формирования - уже есть. Ну а дальше - дело за малым.
Это конечно сложно, я озвучил для того, чтобы указать на возможность.