Elikkäs, pitäisi saada sessiot pelittämään täysin ilman evästeitä. Sain jo tuolla toisessa viestissä neuvoksi tämän linkin:
https://www.php.net/manual/en/ref.session.php#session.idpassing
Tuota kun aikani tuumailin ja pistin koeajoon, niin jäi vähän epäselväksi että riittääkö se kun vaan tunkee jokaisen sivuston siirtymäosoitteen perään tuon "strip_tags(SID)" -pötkön? Sekö välttää, että tekee saman asian kuin evästeversio?
Esimerkki:
header(location: "jatkuu.php?strip_tags(SID)";
Istunnon tunnus pitää välittää jotenkin seuraavalla sivulle, ja tuolla sivulla mainittu tapa lienee toimiva konsti. Evästeitä ei tarvita, mutta joka sivun osoitteeseen ilmestyy ylimääräinen osa. Lyhyesti: pitäisi riittää, kokeile ainakin.
Onkohan tuo sitten kovin turvallinen kun siinä liikkuu session tunnukset osoiterivillä? Tulee itselle mieleen oikeastaan vain sellainen tilanne, missä joku kuikkii olan takaa osoitteen. Saisi siinä melko kiirettä pitää, että kerkiää samalle sivulle ennen kuin toinen käyttäjä on sulkenut selaimen, jolloin sessio on jo hävinnyt.
Onko mitään muita keinoja jos evästeitä ei saa käyttää ja pitäisi saada satunnaisia tietoja liikuteltua ympäri sivustoa? Lähinnä kirjautumistunnukset pitäisi saada liikkumaan.
Hoover kirjoitti:
Onkohan tuo sitten kovin turvallinen kun siinä liikkuu session tunnukset osoiterivillä? Tulee itselle mieleen oikeastaan vain sellainen tilanne, missä joku kuikkii olan takaa osoitteen. Saisi siinä melko kiirettä pitää, että kerkiää samalle sivulle ennen kuin toinen käyttäjä on sulkenut selaimen, jolloin sessio on jo hävinnyt.
Entä irkkiin tai muualle ajattelemattomasti pastettu linkki? Tuo todella voi muodostua turvariskiksi.
Muita keinoja ei juuri taida olla. Yksi konsti olisi tietysti urliin liitetty istuntotunnus, ja lisäksi vielä IP-osoitteen tarkistus.
Ihan mielenkiinnosta, miksei evästeitä saa käyttää?
Ne ei ole kaikilla käytössä. :/
Voi olla kyllä että on tässä tapauksessa jopa turvallisempi tehdä joku kikka ja yrittää selvitä $_POST:lla, niin eipähä ainakaan osoterivillä hyppele vaarallista tietoa..
Aika harvassa ovat ne käyttäjät, joiden selaimessa evästeet eivät toimi. Minusta niitä voi käyttää vailla huolta.
Toinen vaihtoehto on tietysti, että tunnus ja salasana pitää kirjoittaa aina erikseen tarvittaessa.
Joo, tuo tunnuksien uudelleenkysely myös kävi mielessä. Se kyllä heikentää käytettävyyttä rutkasti jos niitä tarvitaan useassa paikassa sivustolla.
Siksi teen ilman evästeitä tämän kun jotkut ihmiset eivät yksinkertaisesti halua niitä päälle, vaikka selain niitä tukisikin.
Muistelisin kyllä, että PHP:n pystyy konfiguroimaan niin, että jos evästeet eivät ole käytössä, käytetään automaattisesti urleihin upotettuja istuntoja.
Hmm... entäpä tämä post method, pystyykö sen laukaisemaan muuten kuin jotain lomakkeen nappia painamalla ja pystyykö sillä siirtämään muita tietoja kuin lomakkeen tekstikenttiä, esim. jonkin $muuttujan_X?
Jos vaikka haluaisin viedä arvoja seuraavasti:
login.php (täältä login/pass)
->
login_validate.php (tänne tulee login/pass postilla kun painan OK login.php:ssä, täältä pitäisi jotenkin saada tieto tulosta_lomake.php:n)
->
tulosta_lomake.php (tänne pitäisi saada login/pass ilman, että login_validate.php:ssä on mitään nappia).
Hoover kirjoitti:
Onkohan tuo sitten kovin turvallinen kun siinä liikkuu session tunnukset osoiterivillä? Tulee itselle mieleen oikeastaan vain sellainen tilanne, missä joku kuikkii olan takaa osoitteen. Saisi siinä melko kiirettä pitää, että kerkiää samalle sivulle ennen kuin toinen käyttäjä on sulkenut selaimen, jolloin sessio on jo hävinnyt.
Sessio jää vielä palvelimelle (olikohan päiväksi), vaikka selain onkin tunnisteen jo unohtanut.
Ja tosiaan, PHP on vakiona säädetty niin, että sessiot käyttävät evästeitä aina, kun se on mahdollista. Muutoin käytetään tuota URL:ssä kuljetettavaa muuttujaa. Eli ihan vakiosessioilla saisi melko turvallisen systeemin, jossa ainoastaan näillä keksejä käyttämättömillä henkilöillä olisi tietoturvauhka. Ja jos keksien toimimattomuuden syy on käyttäjän valinta, lienee oikeutettua olettaa näiden käyttäjien tietävän valintaansa seuraavat tietoturvariskit.
Aihe on jo aika vanha, joten et voi enää vastata siihen.