Sessionin turvallisuus

Mikäs sitten on suositeltu tapa käyttää sessioneita turvalliesti?

Ja tuli toinen turvallisuuteen littyvä asia mieleen.
Sivustoa luetaan index.php:n kautta includettamalla siihen erillaisia tiedostoja, esim. uutiset.php, kayttajat.php. Jos kuitenkin haluan, että uutiset.php:tä ei voi lukea muuta kuin index.php:n kautta niin onko tämmöinen esimkerkiksi toimiva tapa:

index.php:
sisältää ennen includettamista pätkän "$turvallisuus = 1;"

uutiset.php
sisältää aivan alussa pätkän
if (!$turvallisuus) exit;

lintuherra kirjoitti:

Mikäs sitten on suositeltu tapa käyttää sessioneita turvalliesti?

Ja tuli toinen turvallisuuteen littyvä asia mieleen.
Sivustoa luetaan index.php:n kautta includettamalla siihen erillaisia tiedostoja, esim. uutiset.php, kayttajat.php. Jos kuitenkin haluan, että uutiset.php:tä ei voi lukea muuta kuin index.php:n kautta niin onko tämmöinen esimkerkiksi toimiva tapa:

index.php:
sisältää ennen includettamista pätkän "$turvallisuus = 1;"

uutiset.php
sisältää aivan alussa pätkän
if (!$turvallisuus) exit;

Lue lisää

>> Mikäs sitten on suositeltu tapa käyttää sessioneita turvalliesti?
Tallenna sessioniin joitain tietoja käyttäjästä, jotka ovat riittävän yksilöllisiä ja eivät vaihdu kyselyjen aikana. Osa näistä tiedoista on saatavilla SERVER muuttujan takaa: http://fi2.php.net/manual/en/reserved.variables.server.php

Sitten niiden pohjalta vertailet, ovatko tiedot vaihtuneet vai eivät. Hyviä arvoja ovat mm. IP ja selain (user agent).

>> niin onko tämmöinen esimkerkiksi toimiva tapa:
Juurikin tuollainen on oikea tapa. Jotkut tosin määrittelevät definellä ( http://fi2.php.net/manual/en/function.define.php ) tuon arvon, ja tarkastavat onko se haluttu, tyyliin
define("turvallisuus", 1); ja jokaiseen tiedotoon if(!defined("turvallisuus")) die();

Tämä siitä syystä, että jos palvelin on asetettu käyttämään superglobaaleja arvoja, niin tuosta sinun esimerkistäsi pääsisi läpi menemällä osoitteeseen uutiset.php?turvallisuus=1. Mutta PHP 5 eteenpäin tuo asetus on ollut poissa päältä (oletuksena), ja tuskin toimii nyttenkään. Mutta tuo define on siis hieman "turvallisempi", koska ei ole haavoittuvainen palvelimen asetuksista.

Lauri. kirjoitti:

>> Mikäs sitten on suositeltu tapa käyttää sessioneita turvalliesti?
Tallenna sessioniin joitain tietoja käyttäjästä, jotka ovat riittävän yksilöllisiä ja eivät vaihdu kyselyjen aikana. Osa näistä tiedoista on saatavilla SERVER muuttujan takaa: http://fi2.php.net/manual/en/reserved.variables.server.php

Sitten niiden pohjalta vertailet, ovatko tiedot vaihtuneet vai eivät. Hyviä arvoja ovat mm. IP ja selain (user agent).

>> niin onko tämmöinen esimkerkiksi toimiva tapa:
Juurikin tuollainen on oikea tapa. Jotkut tosin määrittelevät definellä ( http://fi2.php.net/manual/en/function.define.php ) tuon arvon, ja tarkastavat onko se haluttu, tyyliin
define("turvallisuus", 1); ja jokaiseen tiedotoon if(!defined("turvallisuus")) die();

Tämä siitä syystä, että jos palvelin on asetettu käyttämään superglobaaleja arvoja, niin tuosta sinun esimerkistäsi pääsisi läpi menemällä osoitteeseen uutiset.php?turvallisuus=1. Mutta PHP 5 eteenpäin tuo asetus on ollut poissa päältä (oletuksena), ja tuskin toimii nyttenkään. Mutta tuo define on siis hieman "turvallisempi", koska ei ole haavoittuvainen palvelimen asetuksista.

Lue lisää

Kiitos paljon edellisistä, ovat olleet suuresti avuksi. :)

Mutta vielä pieniä tarkennuksia.
Eli tarkoitit, että esimerkiksi sisäänkirjauduttaessa luodaan aina $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];. Ja joka lautauksella katsotaan esim.
if ($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) exit;
Onko turvallisempaa jos $_SESSION['ip']:n tilalle laitetaan esim. $_SESSION['$_SERVER['REMOTE_PORT']'] jolloin sessionin nimi vaihtuu joka kerta?

Onko myöskään väliä, että onko sessioneita tehty useita? Esim. onko $_SESSION['ip'] ja $_SESSION['selain'] turvallisempaa tarkastaa erikseen kuin luoda yksi $_SESSION['ipselain']?