29-10-2007, 16:57
|
|
|
חבר מתאריך: 30.07.05
הודעות: 949
|
|
אבטחה ב-sessions
שלום,
רציתי לפתוח פה דיון קטן על כמה sessions הם בעצם מאובטחים...
בניתי מערכת הזדהות פשוטה:
מכניסים שם משתמש וסיסמה, אלו נבדקים מול מסד הנתונים ואם המידע מתאים שם המשתמש והסיסמה שלו (ב-MD5 כמובן) מוכנסים ל-session.
השאלה היא כמה עבודה כזו מאובטחת:
1) האם מישהו יכול להציץ לי למשתני ה-session? לא שזה מאד יעזור אבל בכ"ז...
2) האם יש אפשרות ליצור מידע דמה ב-sessions? כלומר האם מספיק לי לבדוק שהמשתנים הנ"ל הוגדרו, או שמה בכל פעם צריך לבדוק האם המידע ב-session מתאים לזה במסד?
אשמח לדעת כיצד כדאי לשפר את האבטחה כשמשתמשים ב-session cookie.
ערב נהדר,
_____________________________________
חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.
|