Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  7 3483
fulloggal
fulloggal's Avatar
3.415 380
24. mars 2009
Er det mulighet for å kunne "decode" en PHPSESSID, og lage en ny en med andre variabler enn de som er "kodet inn" i den originale?
Ozma
55535 HP
Ozma's Avatar
3.680 1.125
25. mars 2009
Variabler lagres ikke i session_id. De lagres på serveren. Det eneste sessid gjør er å si "hei, det er meg".
excubated
excubated's Avatar
1.687 407
25. mars 2009
MEN, man har da session hijacking?

googleit <123
jeppfi
jeppfi's Avatar
2.262 171
25. mars 2009
SESSID er vanligvis MD5 kryptert, da må du klare å få tak i rainbowtables og søke etter den MD5 hashen du fant. SESSID'n består bare av tall, så du kan jo lage en selv og.
fulloggal
fulloggal's Avatar
Trådstarter
3.415 380
25. mars 2009
Janpfo: PHPSESSID er ikke bare tall... Noen som vil prøve å "decrypte" denne?
a6ef671d8bfc05711eaaa7880879e7f6
vidarlo
Trigonoceps occipita
vidarlo's Avatar
Donor
27.682 31.078
25. mars 2009
Sitat av fulloggal Vis innlegg
Janpfo: PHPSESSID er ikke bare tall... Noen som vil prøve å "decrypte" denne?
a6ef671d8bfc05711eaaa7880879e7f6
Vis hele sitatet...
Jo, det er bare et tall. Rett nok skreve som base16. I base10, altså vanlige titallssystemet, er hashen ovanfor 221894897678614839111204325960931993590, med andre ord eit rimelig drøyt tall.

Uansett er det KUN en identifikator - laga som en hash av en tilfeldig informasjonsbit, og den inneheld ingen informasjon, og kan heller ikkje røpe noko informasjon.
fuzzy76
webdings
fuzzy76's Avatar
2.482 589
25. mars 2009
The Freak har mer eller mindre rett.

Session hijacking er å kidnappe noen andres sesjon (ved f.eks å kopiere cookies, session id url-parametre e.l. slik at du får logget inn som dem). Men session hijacking gir deg ingen tilgang til selve innholdet i sesjonen.

PHPSESSID er bare et id-nummer for sesjonen, mens variablene lagres, som The Freak sier, på serveren. Det er dette som gjør sessions sikre, sammenlignet med å lagre ting direkte i cookies.

PHP bruker altså bare PHPSESSID for å finne ut hvilken sesjon du "eier".
m0b
m0b's Avatar
DonorAdministrator
5.008 3.420
25. mars 2009
Når session hijacking først er nevnt, kan jeg dra fram en liten artikkel jeg skreiv her for en tid tilbake som forklarer litt rundt akkurat dette også. http://www.freakforum.nu/forum/showthread.php?t=90058

Som det er nevnt her, session id er kun en id som forteller webserveren hvem som er eier av sesssion variablene som er lagret i flatfile (disse ligger som regel under /tmp).

Edit: I tilfelle flisespikkeri. IDen forteller ingenting om hvem som eier filene, men IDen gjør at webserveren kan benytte korrekt fil i forhold til hvilken ID som blir supplert av nettleseren.
Sist endret av m0b; 25. mars 2009 kl. 13:52.