Хранение флага администратора в $ _SESSION

Question

Хранение флага администратора в $ _SESSION

0

Я сохранил флаги администратора в глобальной переменной $ _SESSION. Это только модифицируемая серверная часть, поэтому я не вижу проблемы с безопасностью. В этом сообщении упоминается, что это небезопасно: https://codereview.stackexchange.com/a/29719

Почему это?

Storing a admin flag in the session is only slightly better than adding a GET parameter admin=1. In other words this is no secure solution.

user3893623 09 янв. 2015, в 05:51

Источник

1

Это неправильно, этот ответ неверен.
zerkms 09 янв. 2015, в 04:31
0

Правильно, как только хранилище для сессий не будет взломано - там безопасно хранить флаг.
zerkms 09 янв. 2015, в 04:32
0

Ах, хорошо, спасибо, думал, что я должен был переписать свою систему.
user3893623 09 янв. 2015, в 04:36
0

Потенциальная проблема - перехват сеанса , если сервер не использует http, можно перехватить идентификатор сеанса, есть хорошо документированные случаи угадывания сеанса .
Willem Van Onsem 09 янв. 2015, в 04:56
0

@CommuSoft CommuSoft Я думаю, вы имеете в виду, если сервер не использует «https». Перехват сеанса также не уникален для использования переменной $_SESSION .
Alexander O'Mara 09 янв. 2015, в 05:04
0

@AlexanderO'Mara: AlexanderO'Mara: правда, но это все еще небезопасно. В этот момент, вероятно, единственный шанс - использовать собственную систему шифрования и каждый раз отправлять пароль (зашифрованный и зависящий от времени). Другими словами, подражая https.
Willem Van Onsem 09 янв. 2015, в 05:06
0

@CommuSoft Никогда не сохраняйте пароли в куки, зашифрованные или нет. Может быть, хэш , но посолите его с другой информацией. Кроме того, вы не можете эмулировать HTTPS через HTTP .
Alexander O'Mara 09 янв. 2015, в 05:09
0

@AlexanderO'Mara: AlexanderO'Mara: Вы действительно не можете полностью эмулировать https через http, потому что, общение открыто (серверные директивы, таким образом). Но на самом деле, используя хеш, а лучше и хеш-переменный ...
Willem Van Onsem 09 янв. 2015, в 05:11

Показать ещё 6 комментариев

Теги:

php

session

1 ответ

Ещё вопросы

Это неправильно, этот ответ неверен.
Правильно, как только хранилище для сессий не будет взломано - там безопасно хранить флаг.
Ах, хорошо, спасибо, думал, что я должен был переписать свою систему.
Потенциальная проблема - перехват сеанса , если сервер не использует http, можно перехватить идентификатор сеанса, есть хорошо документированные случаи угадывания сеанса .
@CommuSoft CommuSoft Я думаю, вы имеете в виду, если сервер не использует «https». Перехват сеанса также не уникален для использования переменной $_SESSION .
@AlexanderO'Mara: AlexanderO'Mara: правда, но это все еще небезопасно. В этот момент, вероятно, единственный шанс - использовать собственную систему шифрования и каждый раз отправлять пароль (зашифрованный и зависящий от времени). Другими словами, подражая https.
@CommuSoft Никогда не сохраняйте пароли в куки, зашифрованные или нет. Может быть, хэш , но посолите его с другой информацией. Кроме того, вы не можете эмулировать HTTPS через HTTP .
@AlexanderO'Mara: AlexanderO'Mara: Вы действительно не можете полностью эмулировать https через http, потому что, общение открыто (серверные директивы, таким образом). Но на самом деле, используя хеш, а лучше и хеш-переменный ...

Scopey · Accepted Answer · 2015-01-09T03-20-00.000Z

Это не правильно. Безопасность этого в порядке.

За то, что этот ответ не заслуживает того, чтобы за него проголосовали (поскольку это технически правильно).
@pawan Вопрос: Почему хранение флагов администратора в сеансе считается небезопасным. Ответ: это не считается небезопасным.