SESSIONS, wat wel en wat niet?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: « vorige 1 2 3

Aad B

Aad B

13/10/2011 11:53:49
Quote Anchor link
Ozzie PHP op 13/10/2011 11:45:44:
Hmmm oké, nou.. in ieder geval goed om te weten. Dan moet ik in de toekomst dus niet een ip-adres blocken als het tijdens één sessie wisselt!
Inderdaad. Er wordt door ontwikkelaars vaak heel veel te veel waarde toegekend en gewerkt met ip-adressen. Het bedrijf waar ik werk bouwt (web)applicaties (geen PHP) en wanneer veiligheid aan de orde is wordt met https gewerkt of via vpn wanneer zwaardere veiligheid vereist is. We werken nooit met ip-adressen van de gebruikers op intranet/internet.
 
PHP hulp

PHP hulp

22/12/2024 21:43:45
 
Michael -

Michael -

13/10/2011 15:53:04
Quote Anchor link
- SanThe - op 13/10/2011 10:49:00:
Michael - op 13/10/2011 10:30:35:
Ozzie, ik wordt er dan tijdens de sessie uitgegooid. Dus zonder de browser te sluiten of de website te verlaten.


Toch niet als je actief bezig bent lijkt mij. Maar waarschijnlijk na een (korte) periode van rust/non actief.

Ozzie PHP op 13/10/2011 11:13:38:
Kun je de vraag van SanThe benatwoorden Michael?

(SanThe, jij vermoedt dat de sessie dan is verlopen? Bijv. na 20 minuten?)

Ligt eraan wat jij 'actief bezig' noemt. Als de site is geladen dan is ie daarna niet actief meer bezig. Wijzig ik dan wat in mijn cms, de tijd die ik aan 't typen ben ik die dus niet actief, en klik ik opslaan dan krijg ik soms de melding dat ik niet meer ben ingelogd, en als ik 't ip adres op zoek is die verandert.
 
PHP Scripter

PHP Scripter

13/10/2011 16:51:47
Quote Anchor link
Gelukkig heb ik geen last van wisselende IPs. Dat zal nogal vervelend worden als continu mijn IP zal wijzigen. Want dan geld dat dus ook voor de servers; oftewel de nameservers!
 
Roel -

Roel -

13/10/2011 18:27:10
Quote Anchor link
Ik gebruik zelf ook meerdere dingen, wel in combinatie met een database dan.
Wat ik ook fijn vind, is het opslaan van het IP-adres tijdens het inloggen in een sessie en deze iedere keer controleren. Zo voorkom je session hijacking :-)
 
Jordi Kroon

Jordi Kroon

13/10/2011 18:29:20
Quote Anchor link
Als je maar niet hetzelfde doet als xFire ik login en heel mijn school kan meekijken met mijn sessie.
 
PHP Scripter

PHP Scripter

13/10/2011 19:13:30
Quote Anchor link
User agent opslaan is ook altijd handig.
 
Aad B

Aad B

13/10/2011 19:59:30
Quote Anchor link
Roel van de Water op 13/10/2011 18:27:10:
Ik gebruik zelf ook meerdere dingen, wel in combinatie met een database dan.
Wat ik ook fijn vind, is het opslaan van het IP-adres tijdens het inloggen in een sessie en deze iedere keer controleren. Zo voorkom je session hijacking :-)
Jij slaat dan het ip-adress van bijvoorbeeld een school of bedrijf op en dan kan het hele bedrijf of school sessie hijacken en jij maar denken dat je session hijacking voorkomt. Ik werk bij een bedrijf met >8000 werkstations en we gaan op 1 ip adres naar buiten! en jij maar denken dat je session hijacking voorkomt.
 
PHP Scripter

PHP Scripter

13/10/2011 20:02:52
Quote Anchor link
Aad, dat is dan bijna onmogelijk om het te voorkomen. User Agent ook opslaan. Zo kun je ook op meerdere dingen controleren!
Gewijzigd op 13/10/2011 20:03:07 door PHP Scripter
 
Aad B

Aad B

13/10/2011 20:14:25
Quote Anchor link
@PHP Scripter: Er wordt veel te veel waarde gehecht aan ip-nummers. Vergeet toch het opslaan van het ipnummer, het is een slechte techniek. Waarom vinden ontwikkelaars dat toch zo leuk? Thuisnetwerkjes gaan over 1 ip naar buiten, scholen gaan over 1 ip naar buiten, bedrijven gaan over 1 ip naar buiten, welke enkele PC hangt nog individueel of via zijn routertje aan het internet? Dat zal bij uitzondering zijn. User Agent is grappig maar ook zo makkelijk te omzeilen. Vorige week is op een fotosite duizenden malen extra gestemd op foto's omdat de controle op ip adres + user-agent was gebouwd.....http://www.nedtriathlonbond.org/Default.aspx?Nieuws_ID=642
 
PHP Scripter

PHP Scripter

13/10/2011 21:21:06
Quote Anchor link
Aad, bedankt voor je uitleg, maar waar wil je dan op controleren?
 
Aad B

Aad B

13/10/2011 21:35:33
Quote Anchor link
PHP Scripter, hangt er van af hoe veilig je site moet zijn. Ben je een bank dan doe je dat https en username/password en ben je geen bank dan gewoon username/password. Het password niet opslaan in een session/cookie. Lees ook eens http://phpsec.org/projects/guide/4.html
 
PHP Scripter

PHP Scripter

13/10/2011 22:58:23
Quote Anchor link
Aad, ik ben geen bank en ga toch SSL gebruiken én ook check ik de sessie via het IP én ook heeft de sessie maar een leeftijd van 2 uur.
 

Pagina: « vorige 1 2 3



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.