SESSIONS, wat wel en wat niet?
Ozzie PHP op 13/10/2011 11:45:44:
Inderdaad. Er wordt door ontwikkelaars vaak heel veel te veel waarde toegekend en gewerkt met ip-adressen. Het bedrijf waar ik werk bouwt (web)applicaties (geen PHP) en wanneer veiligheid aan de orde is wordt met https gewerkt of via vpn wanneer zwaardere veiligheid vereist is. We werken nooit met ip-adressen van de gebruikers op intranet/internet.Hmmm oké, nou.. in ieder geval goed om te weten. Dan moet ik in de toekomst dus niet een ip-adres blocken als het tijdens één sessie wisselt!
- SanThe - op 13/10/2011 10:49:00:
Toch niet als je actief bezig bent lijkt mij. Maar waarschijnlijk na een (korte) periode van rust/non actief.
Michael - op 13/10/2011 10:30:35:
Ozzie, ik wordt er dan tijdens de sessie uitgegooid. Dus zonder de browser te sluiten of de website te verlaten.
Toch niet als je actief bezig bent lijkt mij. Maar waarschijnlijk na een (korte) periode van rust/non actief.
Ozzie PHP op 13/10/2011 11:13:38:
Kun je de vraag van SanThe benatwoorden Michael?
(SanThe, jij vermoedt dat de sessie dan is verlopen? Bijv. na 20 minuten?)
(SanThe, jij vermoedt dat de sessie dan is verlopen? Bijv. na 20 minuten?)
Ligt eraan wat jij 'actief bezig' noemt. Als de site is geladen dan is ie daarna niet actief meer bezig. Wijzig ik dan wat in mijn cms, de tijd die ik aan 't typen ben ik die dus niet actief, en klik ik opslaan dan krijg ik soms de melding dat ik niet meer ben ingelogd, en als ik 't ip adres op zoek is die verandert.
Gelukkig heb ik geen last van wisselende IPs. Dat zal nogal vervelend worden als continu mijn IP zal wijzigen. Want dan geld dat dus ook voor de servers; oftewel de nameservers!
Wat ik ook fijn vind, is het opslaan van het IP-adres tijdens het inloggen in een sessie en deze iedere keer controleren. Zo voorkom je session hijacking :-)
Als je maar niet hetzelfde doet als xFire ik login en heel mijn school kan meekijken met mijn sessie.
User agent opslaan is ook altijd handig.
Roel van de Water op 13/10/2011 18:27:10:
Jij slaat dan het ip-adress van bijvoorbeeld een school of bedrijf op en dan kan het hele bedrijf of school sessie hijacken en jij maar denken dat je session hijacking voorkomt. Ik werk bij een bedrijf met >8000 werkstations en we gaan op 1 ip adres naar buiten! en jij maar denken dat je session hijacking voorkomt.Ik gebruik zelf ook meerdere dingen, wel in combinatie met een database dan.
Wat ik ook fijn vind, is het opslaan van het IP-adres tijdens het inloggen in een sessie en deze iedere keer controleren. Zo voorkom je session hijacking :-)
Wat ik ook fijn vind, is het opslaan van het IP-adres tijdens het inloggen in een sessie en deze iedere keer controleren. Zo voorkom je session hijacking :-)
Gewijzigd op 13/10/2011 20:03:07 door PHP Scripter
@PHP Scripter: Er wordt veel te veel waarde gehecht aan ip-nummers. Vergeet toch het opslaan van het ipnummer, het is een slechte techniek. Waarom vinden ontwikkelaars dat toch zo leuk? Thuisnetwerkjes gaan over 1 ip naar buiten, scholen gaan over 1 ip naar buiten, bedrijven gaan over 1 ip naar buiten, welke enkele PC hangt nog individueel of via zijn routertje aan het internet? Dat zal bij uitzondering zijn. User Agent is grappig maar ook zo makkelijk te omzeilen. Vorige week is op een fotosite duizenden malen extra gestemd op foto's omdat de controle op ip adres + user-agent was gebouwd.....http://www.nedtriathlonbond.org/Default.aspx?Nieuws_ID=642
Aad, bedankt voor je uitleg, maar waar wil je dan op controleren?
Aad, ik ben geen bank en ga toch SSL gebruiken én ook check ik de sessie via het IP én ook heeft de sessie maar een leeftijd van 2 uur.