Sessioni e sicurezza

[mauro742]

Ho creato un sistema di login che si basa sulle sessione...quando user e
pass vengono verificati viene scritto un valore su una variabile di sessione
($_SESSION['variabile']) e su un'altra l'username dell'utente. Ora mi è
venuto un dubbio sulla sicurezza: un utente potrebbe alterare il contenuto
di queste variabili?

Mauro

[IroN@xiD]

Ciao!

Da quello che so le SESSION si comportano in questo modo:


-il client si collega
-avvii la sessione
-gli applichi un id corrispondente alla sessione

Quando il client si ricollega viene collegato all'id della sessione.

Tutte le variabili che tu colleghi alla sessione sono sul server e non possono essere in alcun modo visualizzate o alterate lato client (cosa invece possibile con i cookies).
L'unica cosa che le collega al client è il sessionid.

A questo punto mi pare che l'unica possibile falla di sicurezza rilevata è attribuibile al sessionid. Un altro utente malintenzionato (ahahah, questo modo di dire mi fa sempre ... :maLOL: ) potrebbe attribuirsi il sessionid di un altro utente e quindi prenderne il posto... oppure se hai una generazione banale del sessionid... es. timestamp. Ma la cosa mi pare non sussista... (vero ragazzi!?!? Ditemi che php non usa questo metodo di default!!! )

Si tratta comunque di uno scenario che si verificherà molto difficilmente (perchè è difficile prendere un id senza avere la possibilità di fare cose molto più divertenti.... ).


Ciaooo!!!!