[es] - čitanje/zapisivanje sessije

mickey.co.ba
Miralem Halilovic
Zivinice, BiH

Član broj: 26263
Poruke: 129
91.191.50.*

Sajt: www.mickey.co.ba

Profil

^{17.07.2008. u 19:13}

Da li je moguće nekoj osobi zapisati sessiju ili pročitati vrijednost sesije nekako hakanjem, ja kod sebe na localhostu kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta. znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.

ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...

http://mickey.co.ba && http://boljaraja.com

^{17.07.2008. u 19:13}

1r0nM4n
Nenad Vasić
Web Developer
Beograd

Član broj: 55970
Poruke: 438
*.artcommunication.co.yu.

ICQ: 303614173
Sajt: www.irondev.net

Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 01:02}

Citat:

kad zapišem sessiju u firefoxu kad gledam zapisane Cookiese vidim i PHPSESSIONID koji je nekako šifrovan

Nije ništa šifrovano nego je to Session ID koji po default-u ima 32 random karaktera pa izgleda možda da je šifrovano. Ti možeš da staviš da ti tu piše i "pera" ako hoćeš..

Citat:

pa me interesuje dali je moguće nekome da vidim preko svog brovsera vrijednost sesije nekog drugog sajta

Misliš na nekog korisnika na nekom drugom sajtu.. Ako je to, onda može na neki način da ako sajt ima neki XSS vuln (google za više detalja).

Citat:

znam da su sesije snimljene na serveru al ovo me malo buni sad sto se sesije sa localhostu pojavljuju u ovom firefox-ovom tool-u za gledanje cookies-a.

Sama sesija i njeni podaci jesu na serveru ali server mora da zna kom korisniku pripada određena sesija. Zato on zabeleži ID sesije kod korisnika u obliku "kolačića" (ili na neki drugi način ako je drugačije definisano) i kad korisnik opet pristupi sajtu, server pročita ID i korisnik opet ima svoju sesiju.

Citat:

ovo me interesuje jer planiram praviti loginovanje koje ce imati zapisan u sebi samo ID korisnika, pa ako je moguce da neko zapisuje sessije, onda bi bilo jednostavno zapisati i userID administratora i biti logovan kao administrator...

Naravno. To je loša realizacija datog primera. Imaš na google dosta stvari o tome pa pogledaj: http://www.google.rs/search?hl=sr&q=php+login

p0z

Kursna Lista

^{18.07.2008. u 01:02}

Nemanja Avramović
PHP developer, Webinsane
Mladenovac, Srbija

Moderator
Član broj: 32202
Poruke: 3869
77.46.192.*

ICQ: 266136396
Sajt: www.avramovic.info

Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 08:20}

Jesi siguran da su 32 random karaktera? Meni tih 32 "random" karaktera liči na md5 hash

Moj sajt. Moj blog. Moj avatar. Moj grad. Moja frizura.

_{[NE PRUŽAM PODRŠKU ZA PHP PREKO PRIVATNIH PORUKA!]}

^{18.07.2008. u 08:20}

mickey.co.ba
Miralem Halilovic
Zivinice, BiH

Član broj: 26263
Poruke: 129
91.191.50.*

Sajt: www.mickey.co.ba

Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 12:40}

ok narode hvala na informacijama...

http://mickey.co.ba && http://boljaraja.com

^{18.07.2008. u 12:40}

1r0nM4n
Nenad Vasić
Web Developer
Beograd

Član broj: 55970
Poruke: 438
91.150.97.*

ICQ: 303614173
Sajt: www.irondev.net

Profil

Re: čitanje/zapisivanje sessije

^{18.07.2008. u 15:06}

Citat:

Nemanja Avramović: Jesi siguran da su 32 random karaktera? Meni tih 32 "random" karaktera liči na md5 hash :)

Čini mi se da sam negde ranije pročitao da nije MD5 iako izgleda tako. A ako je MD5, onda je to hash od nekoliko random karaktera. :)

Kursna Lista

^{18.07.2008. u 15:06}