Bunu owasp-tr grubuna sorulsa çok güzel cevap gelir eminim. Ben önlem almayalım demedim :)
Şurda iyi özetlenmiş. Önlem olarak ne yapılabilir. http://stackoverflow.com/questions/328/php-session-security Ama sizin sorunuz dışardan sessionid değişme ihtimaline karşı sürekli kontrol etmek gerekli mi ? ise. Zaten php nin yönettiği bir işi ele almak bana çok mantıklı gelmiyor. Her defasında kontrol et süz gereksiz gibi. Tabi hatalı bir yorum olabilir... Türkeçesini yazarsak ; Önemli yerlerde SSL kullanılmalı, Güvenlik seviyesi değiştiğinde yeni session id üretilmeli. Mesela kullanıcı login olduğunda Her session bitiş süresi olmalı register globals kulanılmamalı. Ki FW kullanıyorsunuz muhtemelen yapmıyorsunuz öyle şeyler :) Auth. detaylarını saklayın. .... Volkan Altan http://volkanaltan.com/ İyi Çalışmalar. 2012/12/5 What you get is Not what you see <[email protected]> > > > > 2012/12/5 Volkan Altan <[email protected]> > >> Aslında olay şu ; >> >> 1.x veya 2.x bu soruna çözüm değil. Dışardan biri saldırı amaçlı bu >> bilgiyi değiştirirse PHP hata verip yeni session oluşturuyor. Warning >> olduğu için ciddi hata sayılmıyor. >> Sayfayı yenilediğinizde bu mesaj tekrar karşınıza çıkmaz. >> >> Sizin örnek doğrudan saldırı olduğu için gönderdiğim link geçersiz :) >> >> Aslında FW nin yaptığı şey ilk olarak session_start(); komutunu >> çalıştırmak siz manuel session değerlerini değiştirdiğiniz için mevcut >> sessid ile ilerleyemiyor. Yenisini oluşturuyor. >> >> >> > > Yani onlem almaya gerek yok mu? > > _______________________________________________ > Linux-programlama mailing list > [email protected] > https://liste.linux.org.tr/mailman/listinfo/linux-programlama > Liste kurallari: http://liste.linux.org.tr/kurallar.php > >
_______________________________________________ Linux-programlama mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-programlama Liste kurallari: http://liste.linux.org.tr/kurallar.php
