ASP сессии и безопасность
On 2002-08-31 0614, Anonymous wrote
Народ, есть вопрос! допустим я записал нечто из своей asp страницы (session("myvar")="что-то там"). Отсюда-то и возникают вопросы 1. насколько эти данные защищены от просмотра эзверем, открывающим страницу? и второе насколько возможно потом обмануть мой скрипт? приконнектившись, к примеру, на 80 порт моей тачки. Благодарю за внимание
Сесия для того и нужна чтобы тебя никто и нигде не обманул, сесия хранится, на сервери а не у тбя на тачке
http//php.spb.ru/php/session.html прочитай начало, и поймешь основы сесий, далше нечитай там для програмеров на пхп..
// http//www.sp1r1tual.com
On 2002-08-31 0614, Anonymous wrote
Народ, есть вопрос! допустим я записал нечто из своей asp страницы (session("myvar")="что-то там"). Отсюда-то и возникают вопросы 1. насколько эти данные защищены от просмотра эзверем, открывающим страницу? и второе насколько возможно потом обмануть мой скрипт? приконнектившись, к примеру, на 80 порт моей тачки. Благодарю за внимание
сессии работают следующим образом.
когда ставишь сессию на клиента прописывается кука с уникальным значением.
данные не прописываются.
потом сервак просто читает этот ключь и может определить какой набор данных относится к тебе.
обмануть помоему можно если перехватить обращение к серваку и считать значение ключа и потом передавать его в куке но не факт
там могут ещё контролироваться параметры соединения
хотя я про это ничего не слышал
On 2002-09-03 1831, Lucifer wrote
[quote]
On 2002-08-31 0614, Anonymous wrote
Народ, есть вопрос! допустим я записал нечто из своей asp страницы (session("myvar")="что-то там"). Отсюда-то и возникают вопросы 1. насколько эти данные защищены от просмотра эзверем, открывающим страницу? и второе насколько возможно потом обмануть мой скрипт? приконнектившись, к примеру, на 80 порт моей тачки. Благодарю за внимание
сессии работают следующим образом.
когда ставишь сессию на клиента прописывается кука с уникальным значением.
данные не прописываются.
потом сервак просто читает этот ключь и может определить какой набор данных относится к тебе.
обмануть помоему можно если перехватить обращение к серваку и считать значение ключа и потом передавать его в куке но не факт
там могут ещё контролироваться параметры соединения
хотя я про это ничего не слышал
[/quote]
Я же говорил прочитайте начало статьи на которую дал ссылку, сессия, не обязательна должна использовать сесионные куки.
// http//www.sp1r1tual.com
On 2002-09-04 0824, Joker wrote
Я же говорил прочитайте начало статьи на которую дал ссылку, сессия, не обязательна должна использовать сесионные куки.
// http//www.sp1r1tual.com
хе-хе сам внимательно прочитай сначала вопрос а потом ещё раз статью.
во первых вопрос был про asp сессии
во вторых способ был про безопасность сессий
asp хранит сессии в куках если ты вырубишь куки то про asp сессии можешь забыть.
ID сессии хочешь ты того илинет будет храниться на машине польлзователя (не зависимо где в куке, в url или в теле POST запроса) и каждый раз при обращении будет передаваться на сервер - значите его можно перехватить или получить.
Цитата из статьи.
Хоть сессию подделать нельзя, но существуют следующие непредвиденные случаи
- на компьютере посетителя побывал злой хакер, который поставил злую программу, ворующую пароли от интернета (статья N##) и номера сессий
- между компьютером посетителя и сервером сидит злой хакер и видит все, что передается. Конечно, есть защищенный (зашифрованный) протокол SSL, но это увы везде не внедрить
- к компьютеру нашего посетителя подошел злой сосед и стащил этот номер сессии
таким образом перехватив ID куки можно сгенерировать запрос на сервак который этот самый код и пошлет и может получить доступ к данным пользователя.
On 2002-09-04 0824, Joker wrote
[quote]
On 2002-09-03 1831, Lucifer wrote
[quote]
On 2002-08-31 0614, Anonymous wrote
Народ, есть вопрос! допустим я записал нечто из своей asp страницы (session("myvar")="что-то там"). Отсюда-то и возникают вопросы 1. насколько эти данные защищены от просмотра эзверем, открывающим страницу? и второе насколько возможно потом обмануть мой скрипт? приконнектившись, к примеру, на 80 порт моей тачки. Благодарю за внимание
сессии работают следующим образом.
когда ставишь сессию на клиента прописывается кука с уникальным значением.
данные не прописываются.
потом сервак просто читает этот ключь и может определить какой набор данных относится к тебе.
обмануть помоему можно если перехватить обращение к серваку и считать значение ключа и потом передавать его в куке но не факт
там могут ещё контролироваться параметры соединения
хотя я про это ничего не слышал
[/quote]
Я же говорил прочитайте начало статьи на которую дал ссылку, сессия, не обязательна должна использовать сесионные куки.
// http//www.sp1r1tual.com
[/quote]
И вообще нужно делать скрипты с таким предположением что ВСЕ данные приходящие от пользователя могут быть чем угодно и от кого угодно.
правда меру нужно тоже знать. Например если делать форум то там защита не нужна. Ну и что если от меня например кто то напишет сообщения. а вот если делаешь payment system то там идет работа с деньгами и защита должна быть максимальная.
On 2002-09-04 0824, Joker wrote
[quote]
On 2002-09-03 1831, Lucifer wrote
[quote]
On 2002-08-31 0614, Anonymous wrote
Народ, есть вопрос! допустим я записал нечто из своей asp страницы (session("myvar")="что-то там"). Отсюда-то и возникают вопросы 1. насколько эти данные защищены от просмотра эзверем, открывающим страницу? и второе насколько возможно потом обмануть мой скрипт? приконнектившись, к примеру, на 80 порт моей тачки. Благодарю за внимание
сессии работают следующим образом.
когда ставишь сессию на клиента прописывается кука с уникальным значением.
данные не прописываются.
потом сервак просто читает этот ключь и может определить какой набор данных относится к тебе.
обмануть помоему можно если перехватить обращение к серваку и считать значение ключа и потом передавать его в куке но не факт
там могут ещё контролироваться параметры соединения
хотя я про это ничего не слышал
[/quote]
Я же говорил прочитайте начало статьи на которую дал ссылку, сессия, не обязательна должна использовать сесионные куки.
// http//www.sp1r1tual.com
[/quote]
Штука вся в том что ты сказал до этого что сессия может хранится только в куках, вот я исказал перечитать статью(а то что она для пхп это сути дела не меняет), а про то что айди можно подсмотреть, это уже должно тебеволновать посредственно
1) Тыже не можешь следить за компом чтобы его не затроянили юзер сам виноват
2) Подсмотрели, значит подпустил к компу юзер сам виноват
3) Сниферят(т.е прослушивают), опять же ты как програмист мало чем можешь ему помочь.. Разве что шифровать, но как было сказано не везде возможно..
Так что юзай сесий, крайне надежная и нужная и удобная штука, и главное что подделать крайне тяжело..
// http//www.sp1r1tual.com
On 2002-09-04 2213, Joker wrote
Штука вся в том что ты сказал до этого что сессия может хранится только в куках, вот я исказал перечитать статью(а то что она для пхп это сути дела не меняет)
// http//www.sp1r1tual.com
помоему у меня в первом мессаге было ясно написано что в куке уникальный ключь хранится
ладно проехали хватит тему засорять ;о)