Sessie ID gebruiken

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Marthijn Buijs

Marthijn Buijs

02/08/2015 17:27:45
Quote Anchor link
Beste mensen,

Even een korte vraagje: mag ik het sessie id gebruiken op de website?
Dat dit openbaar is voor andere mensen, of mag dit totaal niet vanwege de beveiliging?
(heb zelf geen idee wat hackers met een sessie id kunnen doen, en juist wat ze wel kunnen doen en wat niet)

Ik heb het idee om js en css files opnieuw te de downloaden als de gebruiker na het sluiten van de browser weer de website bezoekt. En dan altijd de laatste versie van het bestand heeft.

Alvast bedankt voor de tips en het meedenken :)
Gewijzigd op 02/08/2015 17:31:52 door Marthijn Buijs
 
PHP hulp

PHP hulp

22/12/2024 09:06:43
 
Ozzie PHP

Ozzie PHP

02/08/2015 17:40:50
Quote Anchor link
>> Even een korte vraagje: mag ik het sessie id gebruiken op de website?
>> Dat dit openbaar is voor andere mensen, of mag dit totaal niet vanwege de beveiliging?

Dat lijkt me een duidelijke NEE. Met een sessie-ID herkent een browser de sessie (het sessiebestand) op de server. Als ik weet met welke sessie-ID jij bent ingelogd, kan ik jouw sessie overnemen, en krijg ik dus ook jouw rechten e.d. (mits je hier geen verdere beveiliging hebt toegepast).
Gewijzigd op 02/08/2015 17:41:21 door Ozzie PHP
 
Marthijn Buijs

Marthijn Buijs

02/08/2015 17:51:37
Quote Anchor link
Aan welke beveiliging zit je te denken?
 
Ozzie PHP

Ozzie PHP

02/08/2015 17:57:24
Quote Anchor link
>> Aan welke beveiliging zit je te denken?

Een extra beveiligings-hash. Maar ... wat jij doet moet je niet willen. Je neemt willens en wetens een beveiligingsrisico.

Jouw vraag is ongeveer ... mag ik mijn pincode openbaar maken op de website?

Een pincode is jouw herkenning met de bank, zoals een sessie-id dat ook is (gedurende een sessie). Die moet je niet openbaar willen maken. Nooit.
 
Marthijn Buijs

Marthijn Buijs

02/08/2015 18:08:56
Quote Anchor link
Dan zou ik het op kunnen lossen om iedere begin van de sessie de request time te gebruiken..
 
Thomas van den Heuvel

Thomas van den Heuvel

02/08/2015 18:37:45
Quote Anchor link
Ozzie PHP op 02/08/2015 17:57:24:
Een extra beveiligings-hash

Hoe ziet deze er dan uit?
 
Ozzie PHP

Ozzie PHP

02/08/2015 20:19:07
Quote Anchor link
@Thomas, hoe bedoel je?

@Maarten

Wat wil je precies bereiken dan? Waarom moet er telkens een andere css worden geladen?
 
Marthijn Buijs

Marthijn Buijs

02/08/2015 20:50:17
Quote Anchor link
Ik bedoelde dat het bestand steeds opnieuw gecached word bij iedere sessie van een gebruiker, dan heeft hij altijd de nieuwste versie van het css of js bestand.
 
Thomas van den Heuvel

Thomas van den Heuvel

02/08/2015 20:59:44
Quote Anchor link
Ozzie PHP op 02/08/2015 20:19:07:
@Thomas, hoe bedoel je?

Je geeft een voorzet voor een veiligere constructie maar licht niet toe hoe deze dan in elkaar zit :].
PHP Maarten op 02/08/2015 20:50:17:
Ik bedoelde dat het bestand steeds opnieuw gecached word bij iedere sessie van een gebruiker, dan heeft hij altijd de nieuwste versie van het css of js bestand.

Dit probleem staat los van sessies en kan ook op een andere manier worden opgelost denk ik. Vaak wordt toch alle js en css ingepakt tot alles.js en alles.css en daar plak je dan een versienummer aan (alles.css?v=12). Verandert de samenstelling, hoog je het versienummer op (alles.css?v=13), klaar?
 
Marthijn Buijs

Marthijn Buijs

02/08/2015 21:05:48
Quote Anchor link
Nee maar als ik met sessies doe dan gebeurd automatisch dat de nieuwste versie komt, omdat ik dan de gehele sessie de request time laat staan, mocht de gebruiker browser sluiten en weer naar mijn website gaan, heeft die persoon gegarandeerd de laatste versie die niet gecached is en staat er een andere request time.

^ Dit is toch ook een prima idee?
 
Thomas van den Heuvel

Thomas van den Heuvel

02/08/2015 21:18:08
Quote Anchor link
Ik denk het niet, om de simpele reden dat het daar niet echt thuis hoort. Het lijkt mij een oplossing op de verkeerde plaats. Je maakt daar ook het gebruik van CSS en JS afhankelijk van cookies (via een cookie onthoud je doorgaans het sessie-id, omdat het doorgeven van je sessie-id via een URL de mindere oplossing van de twee is).

De oplossing die ik voorstelde werkt out-of-the-box, geen fratsen met sessies (dat scheelt :)). Daarnaast voorkomt dit ook het nodeloos opnieuw cachen van CSS en JS als dit niet hoeft (wat het hele idee van cachen anders een beetje teniet zou doen nietwaar).

EDIT: "als dit niet hoeft": de gebruiker start een nieuwe sessie, maar de CSS en JS bestanden zijn ongewijzigd sinds het vorige bezoek.
Gewijzigd op 02/08/2015 21:19:18 door Thomas van den Heuvel
 
Ozzie PHP

Ozzie PHP

03/08/2015 14:56:26
Quote Anchor link
>> Je geeft een voorzet voor een veiligere constructie maar licht niet toe hoe deze dan in elkaar zit :].

Excuus voor de late reactie. M'n internet lag eruit. Ik gaf geen voorzet voor een veiliger constructie. Ik gaf enkel aan dat je een sessie-id zou kunnen kapen als je verder geen extra beveiliging hebt waarmee je de geldigheid van de sessie controleert. Maar waar het vooral op neerkomt is dat het geen goed idee is om een sessie-ID openbaar te maken.
 
Marthijn Buijs

Marthijn Buijs

03/08/2015 15:53:40
Quote Anchor link
Bedankt jongens ik weet genoeg!
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.