sono idee mezze buone, ma solo a metà.Originariamente inviato da ringo_mato
io fare session_id random con hash di una stringa confrontandola con qualcosa che proviene dal browser tipo ip e useragent secondo me hai già un buon livello di sicurezza poi se sei dentro un https .. tecnicamente sei protetto nel tunnel ssl
il massimo se fosse possibile sarebbe un codice basato sul seriale del disco rigido ma php non centra nulla dovrebbe essere tipo una chiave software fatta per lanciare le pagine php
Premetto che lo scopo delle mia paranoie è evitare problematiche di session hijacking e session fixation, che sono ben più subdole e insidiose di semplici tentativi di sniffare nome utente e password (per evitare questo basta SSL).
l'ip può essere comune a più utenti (vedi pc dietro a un nat o gli utenti fastweb che escono un ip unico) oppure può variare durante la connessione (alcuni provider a volte lo fanno, ma sono pochi).
gli header inviati dal browser invece possono essere sniffati (basta che ti faccio visitare una mia pagina).
Https sicuramente è una cosa in più ed è molto robusto, ma se riesce a fare una code injection un estraneo riesce comuqnue a leggere i cookie e altra roba.
Invece la lettura di un qualche parametro hardware (seriale del disco, file su una chiavetta usb, ecc) sarebbe una figata, ma trovare un sistema cross browser e cross platform è un incubo.
quindi al momento uso un accrocchio di tecniche viste in rete, ma non sono ancora soddisfatto al 100%
Rispondi quotando