| |
|
|
| | читал про это ,тока до конца не понял как происходит подделка сессии .
вот есть функция regenerateId() куда ее надо вставлять, до того как мы присвоим $_SESSION переменные при входе под логином? | |
| |
|
|
| |
|
|
| |
для: kvins
(08.03.2011 в 00:25)
| | | Не очень понятно, что имеется в виду? Какова конечная цель "фиксации сессии"? | |
| |
|
|
| |
|
|
| |
для: cheops
(08.03.2011 в 00:34)
| | | не я просто читал что
— Кроме кражи id сессии пользователя, злоумышленник может исправить id сесии на известный ему. Это называется фиксацией сессии.
вот и спрашиваю regenerateId() поможет от этого и где ее ставить нужно
(потому что не знаю как кража происходит)
мб этот код надо на каждой странице ставить или тока когда заходишь под логином
Какова конечная цель "фиксации сессии"?
мне не нужна =) наоборот спрашиваю как защитится =) | |
| |
|
|
| |
|
|
| |
для: kvins
(08.03.2011 в 00:38)
| | | Хм... в моем понимании кража сессии, как раз и заключается в установке известного id (SID) (собственно, он после кражи и становится известен). Защиты от этого нет, так как узнать украдена сессия или нет вы не можете, нужно следить за отсутствием XSS-уязвимостей, отказываться от передачи SID через GET-параметры, в общем принимать меры, чтобы сессии не крали. Если вы меняете SID в момент входа, злоумышленику она тоже будет поменяна - краденная сессия от обычной ничем не отличается. | |
| |
|
|
