Подмена сессии

[Linel]

На сайте есть форма авторизации. При правильном введении логина & пароля в сессии сохраняется логин пользователя. Может ли злоумышленник каким то образом заменить это имя на другое? Если да, то как от этого защититься?

[Arigato]

Вопрос совершенно не корректен. Всё зависит от того, как именно происходит идентификация сессии. В одной системе это возможно, в другой нет, от реализации зависит.
К примеру, был глюк в форумах phpbb2 старых версий, что можно было подменой куки идентифицироваться от имени любого пользователя (в том числе и админа).

[Linel]

Цитата:

К примеру, был глюк в форумах phpbb2 старых версий, что можно было подменой куки идентифицироваться от имени любого пользователя (в том числе и админа).

Да, я читал об этом. Я имею ввиду примерно такой механизм:

1) Пользователь авторизируется, вводя свой логин и пароль.
2) Если логин и пароль правельны, то логин сохраняется в сессии: $_SESSION["username"] = $userName
3) Далее. На сайте можно комментировать новости. При сохранении комментария в БД сохраняется сам текст, время и логин автора. Логин автора берётся именно из массива $_SESSION. ($_SESSION["username"])

Может ли злоумышленник каким либо образом подменить значение $_SESSION["username"] ?

[Arigato]

Какой-то детсадовский механизм вы описали. Так ни кто не делает. Разве что студент или школьник какой. Уровень безопасности = 0 в данном примере.

[SkyM@n]

Цитата:

Сообщение от Arigato

Какой-то детсадовский механизм вы описали. Так ни кто не делает. Разве что студент или школьник какой. Уровень безопасности = 0 в данном примере.

В чем именно он детсадовский? Приведите, пожалуйста, Ваш механизм.

[Arigato]

Я вообще не использую встроенный механизм сессий.
А детсадовский в том, что из всей возможной информации сохраняется только логин.

Цитата:

Сообщение от SkyM@n

Приведите, пожалуйста, Ваш механизм.

В зависимости от задачи нюансы могут отличаться, но в общем случае примерно так:
1. Используем форму входа: Логин, Пароль. Пароль отправляется на сервер не в открытом виде, а в виде специального хеша (модификация на базы md5), который расчитывается на JS (если JS отключён, отправляется открытый пароль).
2. Если логин и пароль верны, в БД записывается рандомный код сессии, User_Agent и часть IP-адреса (обычно, первые 3 байта). В куки браузера записывается код сессии (вообще говоря, я обычно использую 2 разных кода сессии, 1 для идентификации, а 2-й для форм).
3. Идентификация пользователя происходит по совпадению кода сессии и User_Agent'а с частью IP-адреса.
Ни логин, ни пароли или ещё чего-либо подобное для идентификации уже не используется. Исключение: автовход, но это немного другая тема.

[SkyM@n]

А если юзер зайдет с другого браузера или у него статичный айпи (или же он зашел с другого компьютера/через другой провайдер) то что тогда?
А если злоумышленник займется спуффингом и также подделает строку userAgent? Украдет куки? Заходи, бери, что хочешь?

[Arigato]

На счёт захода с другого браузера не совсем понял, т.к. с другого браузера в любом случае придётся авторизироваться, будет новый код сессии.
А на счёт злоумышленника. Так идеальных способов защиты не существует (тем более, если мы говорим о случае простого сайта, без каких-либо специальных требований по безопасности). Что бы злоумышленнику воспользоваться чужой сессией, ему надо:
1. Украсть куки. Если писать скрипты аккуратно, то украсть куки через сайт не удастся, тогда вариант типа трояна. Но тут проще сразу пароль захватить при вводе.
2. Узнать, под каким браузером сидит юзер.
3. Подделать свой IP адрес так, что бы он совпадал (пусть даже первые 3 байта) с адресом жертвы. Для этого, как минимум, надо ещё и IP жертвы узнать.
Довольно много препятствий, которые рядовому хакеру преодолеть будет не так-то и просто. И куда надёжнее, чем просто хранить имя пользователя в сессии без какой-либо иной информации.

[SkyM@n]

Убедили.

[Roms]

А вообще сессию ($_SESSION) можно подделать? Это ведь не кукисы ($_COOKIE), которые действитеьно можно украсть. Ведь сессия храниться на сервере, а не в компьютере пользователя