20. februar 2007 - 16:22Der er
9 kommentarer og 1 løsning
Sikkerhed ang. Sessions
Hej.
Jeg er ved at lave en hjemmeside som bruger Sessions vedr. login. Men hvor sikre er Sessions så værdierne ikke kan misbruges? Jeg tænker specifikt på om det er muligt for en at konstruere et program der simpelt ligger en værdi under et navn i hukommelsen som hjemmesiden så genkender og godtager. Altså, jeg har jo tildelt mine Sessions et navn og en værdi. Så er det sådan så jeg skal kryptere det, eller er det lige meget?
Og lige en ting, hvordan gør i andre? Bruger i den indbyggede Login i 2.0? Altså har tænkt på at bruge den, men den virker ikke logisk. Jeg har ingen idé om hvordan man skal komme i kontakt med den udover User.Identity og lidt...
En session bliver oprettet på serveren og hos clienten (i hvertfald bliver det gemt info i IE). Det er så serveren kan skelne mellem de forskellige session. "Hvad hører til hvad".
Jeg kan ikke se hvilke id dine sessions har og hvis jeg kunne så er der ikke en property der tillader at jeg ændre ID'et.. så vidt jeg ved.
Jeg kan nævne et par steder, hvor en brist kunne opstå.
1) hvis en bruger kan submitte data til sitet, og udføre et XSS angreb. Så kan han fange en anden brugers session id
2) hvis man har et system, hvor id session medsendes i urlen. Det har eksperten.dk f.eks. været ramt af. Hvis brugere ved et uheld fik sat links ind med deres Esession, så kunne andre udnytte det. Det er fikset ved, at ip adressen skal matche det i sessionen
plx >> Det kan skabe et problem:) men så må man benytte sig af SSL Encryption. og problemet er der kun hvis det sessionID gemmes i en cookie. (hvilket ikke skulle undre mig)
Hvis du kan se hullerne så må du også kende løsningerne.. ellers kan man ikke bruge det du siger til noget:)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.