АХ
Size: a a a
2021 April 04
T🐜
красавчик )
ПМ
В доке php написано про взлом сессий, получение сессионного айди. Во фреймворках же это решено? В доке в разделе безопасность написано
AS
фреймворки написаны на php, так что нет
ПМ
Есть книга про это, но на английском. Стоит ли вообще парится на счёт этой уязвимости?
AS
смотря какой
ПМ
Взлом сессий, получение сессионного айди
AS
конечно, иначе кто угодно заполучит сессионный айди и украдет все денешки и бонусные баллы у пользователей
ПМ
Это ясно как день, но раз проблема известная, наверное во фреймворках есть защита от этого. Мне хочется в это верить. Иначе как от этого защитится?
AS
не передавать конфиденциальную информацию в куках без HttpOnly / Secure / strict или lax SameSite
ПМ
Есть книга где эта проблема описана, 16 страниц. Ссылка в доке php
ПМ
Речь про сессии
AS
а можно ссылку?
ПМ
ПМ
AS
там речь про уязвимость, которая позволяет установить сессию, доступ к которой есть у атакующего, в браузер пользователя жертвы. Как правило именно с помощью cookie
AS
как правило это значит что на сервере необходимо при аутидентификации пользователя всегда стартовать новую сессию и выдавать ее id, вне зависимости от того какая использовалась
AS
ну и конечно одна сессия (одна аутидентификация) не может использоваться одновременно с разных устройств/ip - для этого нужны соответствующие проверки
AS
встроенных способов защиты в самом php нет, так как они избыточны и осуществляются веб-клиентом (например браузером) для штатных механизмов сессий. Вот если используются кастомные способы авторизации, надо уже это учитывать
AS
в общем это не то чтобы уязвимость какая-то существующая критичная, просто описаны два вида ошибок - неправильная работа кастомных средств с сессиями на сервере и фишинг в разных вариациях