Güvenli session yönetimi

http://meteoncu.com/php-uyelik-siste...uvenlik-duvari

Şu makaledeki ilk açıklamaları okuyunca korktum açıkçası.

Makaledeki ilk paragrafı okudum. Session ve cookie ler tarayıcıda tutulur diyor. Gerisini okumadım ancak bu söylenen yanlış. Cookie tarayıcıda tutulur doğru ancak session sunucuda tutulur. Sadece "Session ID" yani kullanıcıya hangi session ait olduğuna dair bir cookie tarayıcıda tutulur. Örneğin sizin yukarda bahsettiğiniz

$_SESSION["login"]

değişkeni tarayıcı tarafında okunamaz veya değiştirilemez.
Buradaki güvenlik problemi; brute force gibi bir yöntemle başka bir kullanıcının session ID'si tahmin edilmeye çalışılabilir.

Daha önemli bir güvenliği açığı;
PHP'nin kaynak kodlarına bakarsanız PHP session ID'lerini kullanıcının IP adresi, sunucunun lokal saati ve bir rastgele sayının MD5 veya SHA1 algoritması ile hash'i alınarak oluşturuyor. Çok düşük bir ihtimal de olsa farklı kullanıcılara aynı ID'yi verme olasılığı olduğu görünüyor.

Yani şöyle;
Bilgisayarlar rastgele sayıları saat bilgisine birkaç matematiksel işlem uygulayarak üretirler. Yani aynı anda gelen 2 farklı rastgele sayı üretme isteğine karşılık aynı sayı verilebilir. (Buna karşı önlem varsa bilemiyorum. C++ kaynak kodlarını açıp nasıl rastgele sayı ürettiğini de incelemek gerekir)
Dolayısıyla aynı IP'den aynı anda giriş yapan 2 farklı kişiye aynı SESSION ID verilebilir.

Tabi bu çok çok düşük bir ihtimal.
Bunun bir güvenlik açığı oluşturmasını önlemek amacıyla kullanıcı login olurken session ID'sini de kaydedip bir sonraki kullanıcı login olurken "bu session ID başkasına verilmiş mi" diye kontrol yapmakta fayda var.

Bu konuda akademik çalışmalar yapıyorum bildiklerim bunlar.

Yani sonuç olarak benim kullandığım yöntem yeterli midir?

Bir session ile de session'ın hangi sitede kaydedildiği bilgisini tutatabilirsin.
Sadece local'desession çakışması olur. Sunucuda bu tarz problem yaşamazsın.

Yani sonuç olarak benim kullandığım yöntem yeterli midir?

Şuan sunucuda denedim mesela 2 scriptte de online oldum...

Orda biraz paranoya var gibi geldi bana. Ben kendi kullandığım yapıyı anlatayım.

Formdan doldurulan değerler veritabanında varsa, 4 session oluştur.
kullanici_id , giris , username , pass(şifrelenmiş hali)

Her sayfada sessionlardan bu değerleri alır, bu bilgilerle bir üye kaydı olup olmadığına bakarım. Sistem üzerinden şifre değiştiğinde de, otomatik olarak login'e atıyor haliyle, ki olması gerekende bu bence.

Benim sistemde, session'a müdahele edilse bile kullanıcının şifresinin şifrelenmiş halini bilmesi lazım ki sisteme girebilsin. Verdiğin linkteki yapıda da benzer işi üretilen kod yapıyor.

Ayrıca ordaki sistem botlara engel koymuyor sadece limitlendiriyor. 2sn'de bir işleme izin veriyor.

Aynı domain altında iki farklı klasörde falan denerseniz, çakışma yine olur. Sonuçta aynı sunucu ve domain içerisinde çalışacak yine. Bu şekilde sonuca varmak biraz sıkıntılı olabilir. @yakoSin hocamın dediği gibi session path'leri tanımlayabilirsin belki bu şekilde bir önlem alınmış olur. Ki zaten iki farklı domain falan olsa, aynı sunucuda olsalar bile, böyle bir çakışma sorunu yaşamazsınız. Bu sadece aynı domain içerisinde olduğu için oluyor. Local mantığı gibi.



Söylediklerinize ek olarak hocam,

Kullanıcının şifresinin şifrelenmiş halini direkt olarak session'da tutmak ne kadar güvenli olur bilmiyorum, çünkü bu konuda baya tereddütlerim vardı. Bende bu tarz bir yöntem kullanıyorum ama tek farkı şifrelediğim kullanıcı şifresinin içerisine farklı karakterler de ekliyorum ve bunu okurken bu karakterleri parse ediyorum. böylece biraz daha önlemi katlamış oluyoruz galiba. Katlamıyosak da, canımız sağolsun