דקל כתב לי בהודעה הזאת:
http://www.fresh.co.il/vBulletin/sh...1096#post932464


שב- session יש חור אבטחה גדול...
אני יודע שהבעיה היא שאין בעיה לזייף sid, רציתי לדעת איך אפשר לתקן את חור האבטחה הזה

ציטוט:

במקור נכתב על ידי tnadav1 ... אני יודע ... שאין בעיה לזייף sid,

יש כן בעיה, זה ממש לא פשוט, דקל רק אמר שזה אפשרי ושהעברת ה-id באמצעות שורת הכתובת מגדילה את הסיכוי ל"גניבת סשן", אך מכאן ועד להגדיר את זה כ"אין בעיה" המרחק גדול, גדול מאד.
בעבר ד"ר (או פרו', אני לא זוכר מי זה בדיוק היה) ישראלי כתב תוכנה שיוצרת מספר רב של התקשרויות עם השרת, אוגרת את כל ה-id השונים שנוצר במהלך כל session, לאחמ"כ מנתחת את אלפי ה-id השונים ולפי זה יוצרת לבד id "צפויים". אך למרות שהוא הצליח לעשות זאת הוא הציג את זה כחור אבטחה, אך ממש לא ככזה שכל אחד, ואפילו בעל נסיון, יכול לעשות.

ושוב, אין דבר מאובטח במאת האחוזים, תמיד יש סיכוי שהאקר יצליח לגנוב את הסשן, אך עם נשווה את שתי השיטות להעברת ה-id, השיטה באמצעות שורת הכתובת פחות אמינה.

ולשאלתך:
תוכל לנסות לאמת כל id עם כתובת ה-ip שכמובן תשמר במערך SESSION.

בס"ד

כבר עניתי לך באשכול

ציטוט:

לפי מה שאתה אומר - צריך לעשות שיהיה ביסוס של הSESSION לפי הIP שזה אפשר לעשות בקלות (REMOTE ADDR) וזה כמובן עדיף מלשמור את הסיסמה בעוגיות (כך בכל אופן נראה לי) בגלל שאז מי שיודע יכול להעתיק את הסיסמה (כמובן בפורמט MD5) וכו'....

בס"ד

קבלו

קוד PHP:

<?
     //You need to Include the file before "session_start()"
     class Session
     {
         var $id;
         function Session()
         {
             $ip=$this->GetCompactIP();
             $s=$this->Get(session_name());
             
             if(!$s||$this->GetIPFromMd5($s,strlen($ip))!=$ip)        
                 session_id($this->CreateID());    
     
             session_start();    
         }
         
         function GetIPFromMd5($md,$len)
             {return substr($md,-$len);}
             
         function GetCompactIP()
             {return str_replace('.','',$_SERVER["REMOTE_ADDR"]);}
             
        function CreateID()
            {return md5(rand()).$this->GetCompactIP();}
            
         function Get($index)
        {
            if(isset($_GET[$index]))return $_GET[$index];
            if(isset($_POST[$index]))return $_POST[$index];
            if(isset($_COOKIE[$index]))return $_COOKIE[$index];        
            return false;    
        }
     }
    new Session();//Start
?>

ומה מטרת המחלקה?

בס"ד

אתה מצרף אותו לקבצים שלך (INCLUDE) וזהו - האתר מוגן מפני כפיליות SESSIONS

ולמה לא לעשות ב- login -

קוד PHP:

 $_SESSION['ip'] = sha1($_SERVER["REMOTE_ADDR"]); 


ובבדיקה:

קוד PHP:

 if(isset($_SESSION['client']) AND isset($_SESSION['pass']) AND isset($_SESSION['ip']))
{
    check_session($_SESSION['client'], $_SESSION['pass'], $_SESSION['ip']);
    $client=$_SESSION['client'];
} 


כש- check session זה הפונקציה הזאת:

קוד PHP:

 function check_session($client, $pass, $ip)
{
    //---------------------------------------------------------------------------------------------
    //start the query
    //---------------------------------------------------------------------------------------------
    $start=mysql_query("SELECT `client`,`pass` FROM `clients` WHERE `client` = '".$client."' && `pass` = '".$pass."    '");
    //---------------------------------------------------------------------------------------------
    //check the details
    //---------------------------------------------------------------------------------------------
    $info=mysql_fetch_array($start);
    if($pass != $info['pass'] || $client != $info['client'])
    {
        //-----------------------------------------------------------------------------------------
        //nice idea but I got you
        //-----------------------------------------------------------------------------------------
        return FALSE;
    }
    if($ip != $_SERVER["REMOTE_ADDR"])
    {
        //-----------------------------------------------------------------------------------------
        //nice idea but I got you
        //-----------------------------------------------------------------------------------------
        return FALSE;
    }
    return TRUE;
} 


בס"ד

צודק - זה רעיון מצויין
ואת העיקרון הזה המחלקה שלי עושה(לא על ה$_SESSION אלא על הID )

תודה על ההודעה

אין בעד מה..

ו.. אני כבר משתגע!!!
מה זה הבס"ד הזה שאתה כל הזמן כותב?

בס"ד

תעשה חיפוש בפורום ותבין מה זה

תחשוב על זה - כאילו זה החתימה שלי (מלמעלה ומלמטה )

בס"ד

ציטוט:

אין בעד מה..

צודק בגלל שתי סיבות

אם משתמשים במחלקה שלי
1. לא צריך לטפל בהאקרים (הודעת תפסתי אותך)
2. הMD5 יהיה יותר אמין בגלל שהוא כולל את כתובת הIP

יש סיכוי של 1 ממיליון שבטעות יווצרו שתי MD5 אותו הדבר
והמחלקה שלי מונעת את זה

כי זה ממש מיותר.
מה מטרת הצפנת הכתובת ?

[לא קראתי את ההמשך, רק את מקטע הקוד הראשון].

אני לא רואה הגיון בהצפנת כתובת ה-ip. אם אתה כן רואה, נסה להסביר למה.

כדי לחפות על חורי אבטחה שאני לא יודע עליהם...
שעם יסיגו את ה- session לא יכלו להפיק מזה תועלת.
רואים שלא קראת את ההודעה, הרעיון הוא שאין סיבה מוצדקת להשתמש ב- oop ולשלב את הבדיקה של ה- ip עם בדיקות שיגרתיות אמינות session או עוגיות

בס"ד

אולי לא הבנת - אבל הוא דיבר על הקוד הזה

קוד PHP:

 $_SESSION['ip'] = sha1($_SERVER["REMOTE_ADDR"]); 


הבנתי מצוין.
שכתבתי את ההודעה התכוונתי שאם יש חורי אבטחה שאני לא יודע עליהם, הגורמים לקבלת הערך של ה- session, הם לא יבינו מה מהערך של ה- session כלום

בס"ד

אתה פרנאויד?

אחי - אם מישהוא הצליח לפרוץ לSESSION הוא בטוח ב100% יבין את הנתון הזה
ואז מה?! שידעו שאתה משתמש בIP זה לא חידוש

ואם כבר אז במקום לעשות

$_SESSION['ip']

תעשה ככה

$_SESSION[sh('''

התכוונתי לזה שהוא לא יוכל לעשות עם זה כלום