Session Güvenlik Zafiyeti

Mamp localhostta iki ayrı site test ediyorum.

kodların her ikisi de benzer özellikle session isimlerini aynı kullanıyor.

Eski siteyle çalışırken eş zamanlı yeni sitenin de paneline giriş yapacaktım.

Bir de baktım cart panele şifre girmeden girmiş oldum..

Şimdi benzer bir durum normal hostta kullanırken de başa gelebilir mi?

Session oluştururken nelere dikkat etmeli?

Bence bu mümkün değil. En güvenlisi session zaten. Zaten artık Google Chrome falan o zafiyetlere izin vermiyor.

Tahminimce session_save_path'den kaynaklanıyor, her iki site session'ları localde aynı pathden çektiği için böyle bir problem yaşadığınızı düşünüyorum.

localde de olmaması gerekiyor aslında hocam.

aynı durumu hostta da uygun zamanda yükleyip test edicem..

iki siteninde de domaini localhost olduğu için aynı sessionu yakalar tabi.
virtualhost dan local domain olarak eklerseniz http://site1, http://site2... şeklinde domainler değiştiği için bahsettiğiniz sorun yaşanmaz.

session güvenli fakat session açığıda hala karşılaşılan bir problem

bu problemi şu şekilde aşabilirsiniz kesin çözümdür.

bir kod oluşturun session atayın sayfa her değiştiğinde eğer session varsa oyle bıraksın sessıon atanmamıssa yeni sessıon üretsin

sonra bu üretilen sessıon her sayfanın üst kısmında kontrol ettirin sessıon ile kullanıcının sessıonu uyusuyormu diye uyuşmuyorsa exit; ile sayfayı disable yapın

her linkin sonuna örneğin token=olusturulansessıon gibi değerle açtırın

bu sistem ile sistem uzaktan tüm erişimlere kapanacağı gibi herhangi bir tokensiz giriş denemesinde hack,bağlantı vs engelleyecektir sistem

çok sağlam bir yöntemdir. Yapamayacak olursanız yardımcı olurum

iyi çalışmalar