Главная | Топ серверов | Скины | Регистрация | Вход | English Version Приветствую Вас Гость | Показать правый блок
[ Обновленные темы · Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
[bugs] косяк с сессиями )) и как испрасить
smallzlojДата: Понедельник, 05.09.2011, 21:47 | Сообщение # 1
Лейтенант
Группа: Проверенные
Сообщений: 31
Репутация: 5
Статус: Оффлайн
дело в том, что можно украсть кукис сессии админа и тем самым зайти на его логин )) исправляется очень просто )
1. открываем index.php
*между тагам <?php и инклюдом include("includes/banned.php"); вставляем следующее ) ( предномеррено затерев всё, что находится между ними )

ini_set('session.cookie_httponly', true);

session_start();
ob_start();

if(isset($_SESSION['l_ip']) === false ){
$_SESSION['l_ip'] = $_SERVER['REMOTE_ADDR'];
}

if($_SESSION['l_ip'] !== $_SERVER['REMOTE_ADDR']){
session_unset();
session_destroy();
}
$_SESSION[TimeStart] = gettimeofday();

таким образом защищаем от копировки сессии )

Реклама


Сообщение отредактировал smallzloj - Понедельник, 05.09.2011, 22:00
 
YuraДата: Вторник, 06.09.2011, 10:44 | Сообщение # 2
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
не понятно зачем засорять url id сессии
добавить проверку на ип и все, лучше оставить хранение в куках


////
 
speka07Дата: Среда, 21.12.2011, 01:58 | Сообщение # 3
Генерал-майор
Группа: Проверенные
Сообщений: 447
Репутация: 50
Статус: Оффлайн
Юра, а смысл делать проверку на ип ?

 
YuraДата: Среда, 21.12.2011, 11:23 | Сообщение # 4
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
Если боишься, что украдут id сессии администратора, то можно по простому защититься от использования украденной сессии - проверять ip владельца и того, кто обращается.

////
 
speka07Дата: Среда, 21.12.2011, 13:23 | Сообщение # 5
Генерал-майор
Группа: Проверенные
Сообщений: 447
Репутация: 50
Статус: Оффлайн
Юра, лучше давай вернемся к теме, как рисуют через сайт статы ресы и т.д и т.п
Говорил не много с вафлей, его подозрения падают на на файл character.class.php и character.php.
Я склонялся более к werehouse, но т.к шмот рисовать не могут, а только статы ресы и т.д этот вариант отпадает.
Я конечно попросил друга проверить файлы, но пока он освободится, потом вьедит в код ММВ, думаю это долго будет, да и нет гарантии что он что то исправит.
Попрошу Тебя, как знающего человека в этих делах, проверить код этих двух файлов.


 
YuraДата: Среда, 21.12.2011, 15:50 | Сообщение # 6
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
Character.php исключен, он только читает данные из БД. с character.class.php будет сложнее - он очень большой и содержит очень много функций.

При каких условиях происходит копирование вещей, у кого на сервере есть такая же проблема, логи смотрел?


////
 
speka07Дата: Среда, 21.12.2011, 18:24 | Сообщение # 7
Генерал-майор
Группа: Проверенные
Сообщений: 447
Репутация: 50
Статус: Оффлайн
ну это было уже месяц назад.
могу сказать только так.
Логов никаких после рисовки небыло, при чем админка исключение, я ее вытягивал на рабочий стол.


 
  • Страница 1 из 1
  • 1
Поиск:

This page is designed to be viewed best with Chrome. Home Page MyMuWeb By Vaflan. Хостинг от uCoz.