Как защитить сайт от подмены SID?

Question

[fenric]

Сразу приведу код как пример:

<?php

set_time_limit(0);

header('Content-Type: text/html; charset=windows-1251', TRUE);

define('CI', curl_init());

curl_setopt(CI, CURLOPT_COOKIESESSION, 1);
curl_setopt(CI, CURLOPT_COOKIE, 'PHPSESSID=rpmgyvabulrh7478yemfhpc23csawvd0;');
curl_setopt(CI, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT']);
curl_setopt(CI, CURLOPT_RETURNTRANSFER, 1);
curl_setopt(CI, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt(CI, CURLOPT_HEADER, 0);
curl_setopt(CI, CURLOPT_POST, 1);

function test($text, $user = 0)
{
	$text = urlencode($text);
	
	curl_setopt(CI, CURLOPT_URL, "http://www.domane.ru/pm/{$user}/");
	curl_setopt(CI, CURLOPT_REFERER, "http://www.domane.ru/pm/{$user}/");
	curl_setopt(CI, CURLOPT_POSTFIELDS, "text={$text}");
	
	return curl_exec(CI);
}

$message = 'Привет, это спам, ты рад получать спам?';

$start_user_id = 1000000;
$end_user_id = 1553568;

for ($i = $start_user_id; $i < $end_user_id; $i++)
{
	test(strtr($message, [':hash' => md5(microtime(TRUE)+$i)]), $i);
}

curl_close(CI);

echo 'Finish!';

Код рабочий, можете сами тестировать, таким образом, я могу программно, рассылать спам в ЛС пользователям некого сайта, их брешь заключается в том, что мне стоит установить себе SID в куки и всё...
Как обезопаситься самому от такого? Если IP + браузер не работает при таком раскладе...
Т.е. необходимо, как-то сделать, чтобы при открытии сайта в скриптах, проверялось что-то ещё, но что?

Answer 1

[Александр Литвинов]

1) SSL
2) Неплохой пример

Answer 2

[Melkij]

В чём брешь-то? Что нет ограничения на количество обращений в единицу времени?

Где подмена SID, о которой вы спрашиваете в заголовке, если SID у вас захардкожен на некий заведомо известный?

Comments

[fenric]

@Melkij извиняюсь, за некорректно построенный заголовок...

Answer 3

[Руслан Касымов]

Во первых, Вы для начала попробуйте украсть этот session id (не теоретически, а практически)

а во вторых есть session_regenerate_id

Comments

[fenric]

@HDApache Вы не понимаете, вот сайт gmbox.ru, на нём такой фокус не прокатывает... Я не говорю о том, что я боюсь мол её украдут, нет. Я боюсь, что программно можно посеять хаос в системе личных сообщений между пользователями, там ставить ограничение в секунду нельзя, у нас она по типу как аська, скайп, фейсбук, вк, представьте если там ограничения были бы? Человек регистрируется, авторизуется, вытаскивает СВОИ куки, вставляет в скрипт, пишет текст для спама, вычисляет ID последнего юзера, запускает скрипт в браузере, и всё... Как с этим быть, ограничения это перебор, единственное nginx, будет блокировать многократное обращение к странице, но тем не менее, хочется защититься от такого....

[fenric]

Да даже если ставить ограничения, и выдавать паузу, всё равно процентов 34-40 этот спам получат...

[MrButek]

Можно сделать проверку капчи, если отправка второго сообщения происходит менее чем прошлое + 1 минута.

[fenric]

@mr_stupid А вот капча, это уже вариант, и ещё какой вариант, подожду ещё идеи, но в конце концов, так делает ВК, значит это работает, можно и капчу обойти, но писать программу которая будет их распознавать уже крайне "ресурсоёмко"...