PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact

Login wat bewaar je in sessies?

Door Danny von Gaal op 08-12-2015 09:25
3.209 views
Hallo mensen,

Ik loop nu al een tijdje op internet te zoeken en kom toch zoveel verschillende tutorials tegen over een inlogsysteem. De een spreekt de ander weer tegen maar ik wil niet dat mijn website dadelijk gehackt wordt.

Nou is mijn website voor een kleine groep mensen dus niet heel aantrekkelijk om aan te vallen maar ik maak geen gebruik van https:// dus ik wil het toch goed doen.

Ik ben er wel over uit dat ik geen password in een sessie moet opslaan maar wat dan wel? Ik dacht aan userid en een hash of token. Alleen wanneer de token statisch is geeft het mij hetzelfde gevoel als het opslaan van een password.
Maar wanneer vernieuw ik die token? En hoe makkelijk kan iemand die token uitlezen?
Is dat met sniffen leesbaar of kan je dit plain text openen op een computer?

Ik wil voorkomen dat iemand een token van iemand kan uitlezen en met het userid van user kan switchen.

Thanks.
Thomas van den Heuvel
08-12-2015 15:13
Een licht paranoïde houding is bij security vaak handig. Zo zijn sessie-bestanden van zichzelf dan wel veilig (in principe), maar wat als de locatie waar de sessie-bestanden staan opgeslagen dit niet is?

Ik heb het serieus meegemaakt bij shared hosting dat sessie-bestanden van verschillende sites gewoon in dezelfde directory stonden opgeslagen. Ik ben toen ook even gaan kijken wat er in al die sessies stond natuurlijk :). In mijn verdediging beroep ik mij op uitlokking :).

Een grote "winstpakker" ingeval je op shared hosting zit kan dus het instellen van een custom sessie directory (BUITEN JE WEBDIRECTORY UITERAARD LOL) zijn.

Of in zijn algemeenheid: stel dit soort zaken expliciet in. Ga nergens van uit.
Danny von Gaal
08-12-2015 15:27
Dat is inderdaad wel handig en uiteraard buiten je webdirectory. ;-)

Gelukkig is dat in mijn geval niet zo en heb ik een dedicated webserver die beveiligd is met SELinux waardoor iemand vanuit mijn website nooit buiten de root van mijn site andere folders in kan.

Het is dus voor een buitenstaander niet mogelijk om mijn sessie directory in te kunnen zonder mijn root password te weten.
B
Ben van Velzen
08-12-2015 21:42
Apache kan er ook bij, dus dat is niet helemaal waar. Als je uitgaat van correcte labels kan SELinux krachtig zijn. Het alleen inschakelen ervan heeft niet zoveel zin.
Danny von Gaal
09-12-2015 10:57
Als je security context goed staat Ben dan werkt het prima. :-)
B
Ben van Velzen
09-12-2015 11:32
Er vanuit gaande dat dat zo is wel, maar standaard is dat niet zo, dus ga ik daar niet vanuit.
Danny von Gaal
15-12-2015 17:59
Ik heb nou toch maar een certificaat aan de website gehangen en https:// afgedwongen. Heb een goedkoop certificaat gekocht wat wel onder geotrust hangt haha.
Nou kan zeker niemand het verkeer onderscheppen.
Ariën
15-12-2015 18:03
Als je je server goed up2date hebt, en geen Heartbleed op Poodle-lek hebt, dan zit je veilig.
Danny von Gaal
15-12-2015 23:16
Ik zal hem regelmatig door de ssl check halen :-)

Reageren

Inloggen om te reageren