farsi fregare le sessioni

[Cheope]

Come si fa a fregare le variabili di sessione?
E come ci si difende?
Mi sembra di aver letto da qualche parte che, per evitare questo tipo di attacco, una volta fatta l'autenticazione nelle pagine protette bisogna controllare che l'IP con cui sto parlando sia sempre lo stesso che ha fatto il log-in.
Ma se lo memorizzo come variabile di sessione per passarlo da una pagina all'altra, che senso ha controllarlo se mi fregano anche quello?
Potete aiutarmi a capire il mistero?
Altro quesito: ma chi naviga con firewall ecc... non ha l'IP parzialmente nascosto?

Thanx


Chiedo venia per aver scritto eventuali boiate.

[carmineabomb]

Di norma i controlli nn dovrebbero avvenire sull'ip, pensa se si collegano 2 pc da una lan...l'ip risulta uguale per entrambi i pc.
Non ho mai sentito parlare del fatto che si fregano le sessioni, spiegati un pò meglio forse non ho capito bene!
Cmq l'ip non si nasconde e non si modifica!Al massimo per non collegarsi su una pagina col proprio ip si utilizza un server proxy e cmq risulta l'ip del server!

[Cheope]

Originariamente inviato da carmineabomb
Di norma i controlli nn dovrebbero avvenire sull'ip, pensa se si collegano 2 pc da una lan...l'ip risulta uguale per entrambi i pc.

Anche questo non mi spiego. Se i client di una LAN condividono la connessione ad internet, perchè dovrei controllare l'IP che tanto è unico?

Originariamente inviato da carmineabomb
Non ho mai sentito parlare del fatto che si fregano le sessioni, spiegati un pò meglio forse non ho capito bene!

Sicuramente sono io che non riesco a spiegarmi...
Mi riferivo alla (in)sicurezza delle sessioni, al fatto che qualcuno può leggere il session id e "fregare la sessione", in pratica loggarsi, con la sessione di qualcun altro attualmente in corso... Se ne parlava qui
http://forum.html.it/forum/showthrea...hreadid=675253

Originariamente inviato da carmineabomb
Cmq l'ip non si nasconde e non si modifica!Al massimo per non collegarsi su una pagina col proprio ip si utilizza un server proxy e cmq risulta l'ip del server!

Strano! Sempre in quello stessa discussione si diceva

Originariamente inviato da Gianni_T
il controllo sull'ip lo faccio anch'io ma ha delle controindicazioni: gli utenti americani di AOL mostrano un indirizzo ip diverso ad ogni richiesta di nuova pagina, all'interno della rete Fastweb più utenti condividono lo stesso ip pubblico, ad ogni disconnessione e riconnessione degli utenti da internet spesso corrisponde un cambio di ip.

Comunque adesso mi leggo l'articolo a cui si riferisce quella discussione e vedo se riesco a capirci qualcosa...
Grazie per la disponibilità...

[carmineabomb]

Dopo fammi capire anke a me!Visto ke non ci sto capendo + niente

[Cheope]

Ho letto letto l'articolo sulla gestione utenti di DarkBard e il thread relativo e quest'altro interessantissimo articolo sulle sessioni alternative di GM...

Vediamo se ho capito bene... :master:
L'attacco che ho cercato di descrivere goffamente prima è un tipo di cross site scripting: su server condivisi che utilizzano la stessa cartella contenente i file di testo con dentro tutte le variabili di sessione degli utenti loggati, un malintenzionato può fregare un session id, loggarsi ad un sito come un altro utente la cui sessione è ancora aperta, accedere alle variabili di sessione e modificarle a suo piacimento. (Web kreator docet, http://www.webkreator.com/cms/view.php/1665.html)
Giusto?
Un rimedio (ce ne sono altri?) è l'utilizzo delle sessioni su db: memorizzando l'id univoco della sessione, invece che in un file di testo (come fa automaticamente PHP con le $_SESSION), nella tabella di un database (come spiegato negli articoli), solo chi ha accesso al db (ma a quel punto si salvi chi può) può venire a conoscenza del session id di un utente loggato.
La accendiamo?
Ma anche in presenza di SSL si possono fregare i session id?

Ora mi sovvengono ulteriori dubbi.
Nel sorgente del suo articolo, DarkBard dà la possibilità di decidere come propagare il session id fra le pagine: attraverso un cookie o in get attaccandolo alla querystring.
Secondo voi qual è il metodo migliore e perchè?
In get un utente può tranquillamente loggarsi e navigare nella sua area riservata con i cookies disabilitati?
A riguardo ho trovato un thread calzante: http://forum.html.it/forum/showthrea...hreadid=627336
ma fra le opinioni contrastanti non ho capito un granchè... Qualcuno mi vuole illuminare?

Altro dubbio.
Ma il controllo dell'IP (accennato da qualcuno) in un sistema come quello descritto da DarkBard serve o non serve? E' realmente una sicurezza in più? Ma soprattutto, da cosa ci si difende con un controllo del genere?
(Cercherei volentieri l'argomento se il motore di ricerca accettasse anche le parole con meno di tre caratteri... Avete un altro nome per l'indirizzo IP?)

Ciao e grazie a tutti.