dati della sessione

[axl01]

avrei una domanda da fare...
se faccio una cosa tipo questa:

$_SESSION['nome_utente']=$nome;

in pratica memorizzo nella sessione il nome di un utente o altre informazioni........questi dati dove stanno fisicamente??
sono in qualche modo rintracciabili da qualcuno interessato a rubare i dati dell'utente?

faccio questa domanda perchè pensavo ad un sistema per proteggere le sessioni che facesse un controllo sull'eventuale cambiamento di indirizzo ip......mi spiego meglio

se al momento del login assegno:

$_SESSION['ip'] = indirizzo ip della macchina da cui è avvenuto il login

e poi ad ogni caricamento di una pagina faccio un controllo che l'ip della richiesta sia lo stesso di quello memorizzato in $_SESSION['ip']...........se è diverso distruggo la sessione e richiedo il login...

forse sto dicendo una cavolata...ma nella mia testa questo procedimento dovrebbe dare un minimo di sicurezza in caso di "furto" di cookie e cose del genere.....

è una cavolata?

[filippo.toso]

Di default, i dati di sessione vengono salvati in file.
Se il server è configurato correttamente, non ci sono problemi. Alcuni provider con pacchetti shared potrebbero permettere ad altri utenti del server di accedere ai file di sessione.

Se hai utenti che provengono dalla rete Fastweb o dal AOL america, potresti avere problemi con un controllo del genere. In alternativa puoi farlo sull'user agent.

[axl01]

potresti darmi qualche altra indicazione a proposito del controllo sullo user agent??
anche magari un esempio o un link da leggermi...grazie comunque.....

[luca200]

Controllare l'indirizzo ip per mantenere una sessione ti provocherà una serie di accidenti da parte di quegli utenti che lavorano in una rete che usa più di un gateway per uscire su internet, per i quali richieste successive possono arrivare da ip diversi. A questi tu sbatteresti saltuariamente la sessione in faccia, apparentemente senza motivo.

Controllare lo user agent non ti darebbe questo problema, ma il rischio di sicurezza non diminuirebbe di molto: se qualcuno può sbattersi abbastanza da rubarti un cookie, figurati se non può riprodurre la tua stringa dello user agent.
Comunque si tratterebbe di memorizzare, invece dell'indirizzo ip che può cambiare, l'intestazione relativa allo user agent, cioè il browser dell'utente: questo non deve mai cambiare (a meno che l'utente non aggiorni il browser durante la sessione, ma non lo farà tutti i giorni! )

[axl01]

grazie mille....sei stato molto chiaro....
senti ma ci sono delle tecniche conosciute per proteggere la sessione?o comunque altri consigli che puoi darmi?

[luca200]

Siccome alla CIA non mi prendono non mi sono mai dato troppa pena, ma una cosa che mi viene in mente e che non crea fastidi può essere rigenerare il sessionid ogni tot minuti, per limitare il rischio di furti di sessione