Сессии и хацкеры

[docjohn]

Сессии и хацкеры

На сервере время жизни сессии 1440 (по умолч).
чел заходит на сайт;создается новая сессия;чел работает, затем уходит.
Теперь допустим, что хацкер на этом же компе (не позднее 24 мин после этого) ворует ID сессии и заходит на этот сайт с этим ID. В результате он будет продолжать работать с сессией уже ушедшего чела. Так ли это?

Что нужно предпринять чтобы этого не было (за исключением изменения сессионных настроек сервера)?

 

[tony2001]

Re: Re: Сессии и хацкеры

а если хакер придет с паяльником, то никакие секурности не помогут...
уменьшай таймаут, заставляй всех делать логаут.

 

[[VS]]

Re: Сессии и хацкеры

Автор оригинала: docjohn
На сервере время жизни сессии 1440 (по умолч).
чел заходит на сайт;создается новая сессия;чел работает, затем уходит.
Теперь допустим, что хацкер на этом же компе (не позднее 24 мин после этого) ворует ID сессии и заходит на этот сайт с этим ID. В результате он будет продолжать работать с сессией уже ушедшего чела. Так ли это?
Что нужно предпринять чтобы этого не было (за исключением изменения сессионных настроек сервера)?

Никто не мешает тебе в сессии хранить время последнего захода юзера на страницу. Если юзер уже давно не заходил - не пускай

 

[f1]

ip храни
если не совпадает, не пущай

 

[[VS]]

Автор оригинала: f1
ip храни
если не совпадает, не пущай

Нельзя так делать. Многие люди в университетах и других организациях сидят за прокси. Есть прокси которые разные запросы с разных IP отправляют.

 

[dak]

Автор оригинала: f1
ip храни
если не совпадает, не пущай

Лучше при логини спрашивать запоминать ли ip, если человек уверен, что ip не меняется во время работы, пусть для пущей безопасности оставляет галочку на месте!

 

[Stek]

А есть ли смысл изголятся ? Ну придет хакер, ну сопрет сессию - и наверняка он будет сидеть за тем же компом. Тут вам никакие IP не помогут, разве что отпечатки пальцев передавать будете

Используйте сессии с тайм аутом в 2 -3 минуты. Вообще параноя такой степени просто ухудшит программу.

 

[DiMA]

все возможно, если подумать. JS в IE поддерживает md5, поэтому любые средства авторизации можно передавать в хешированном виде. Если на каждый запрос к серверу браузер юзера будет хешировать УРЛ+время запроса, то сервер сможет проверять хеш, чтобы защитится от того, что хакор (грабящий весь трафик) не смог юзать те УРЛ, на которые юзер не ходил + не мог долго использовать засвеченные урл (проверка времени). Не думаю, что так стоит извращатся, просто md5 в JS дает повод для раздумий.

 

[RomikChef]

Док, посмотри ответ Стека, а потом - то, о чем говорят остальные. Им даже в голову не приходит защищаться от "хакера" на том же компе. Тут действительно, только отпечатки пальцев.

А вот о чем стоит подумать, даже если к пользователям домой не будут проникать хакеры, чтобы поработать на еще тепленьком пароле:
Надо систему безопасности делать такой, чтобы юзер не мог нагадить ни другим юзерам, ни системе. Тогда, если не разлогинится, то только сам себе и будет злобный дятел.