0
Kayıt Ol

Session güvenliği

14

280

  • 15-11-2022, 19:00:51
    #1
    Mustafa1379
    Mustafa1379
    Merhabalar, oturum açma için session kullanıyorum. $_Session['login']=$kullanici_id şeklinde kullanıyorum. Session logine kullanıcı id kayıt etmek yerine token kayıt etmeyi düşünüyorum. Her oturumda farklı token oluşturulacak. Bu şekilde kullanımda güvenlik açığı olur mu ve ek olarak ne yapmam lazım?
  • 15-11-2022, 19:03:39
    #2
    Misafir
    Misafir
    Şifreyi md5 ile sessiona kaydedin. Şifre kontrol yaptırın şifre değişmiş ise session_unset yaptirin böylesi daha iyi olacaktır.
    • Mustafa1379
    Mustafa1379 bunu beğendi.
    1 kişi bunu beğendi.
  • 15-11-2022, 19:07:51
    #3
    Mustafa1379
    Mustafa1379
    Misafir adlı üyeden alıntı: mesajı görüntüle
    Şifreyi md5 ile sessiona kaydedin. Şifre kontrol yaptırın şifre değişmiş ise session_unset yaptirin böylesi daha iyi olacaktır.
    Post ile şifreyi ve kullanıcı adını alıyorum doğruysa sessiona kullanıcı id kayıt ediyorum.
  • 15-11-2022, 19:28:04
    #4
    slipknot
    slipknot
    md5 kullanmayın artık kırılıyor,
    sha256 kullanabilirsiniz , kullanıcı adı + şifre + salt(anlık saat dk olur,random karakterler olur aklınıza ne gelirse sadece sunucunun bilebileceği bir key olacak,bir nevi private key) ile token oluşturun ister kullanıcı tarafında localstorage a ister sunucu tarafında olarak kayıt edip kullanabilirsiniz.
    Localstorage a kayıt edecekseniz her istekde bu keyi de göndermeniz gerekecek.

    Yada hiç uğraşmayın hazır kütüphaneler var https://jwt.io/libraries
  • 15-11-2022, 19:31:41
    #5
    Misafir
    Misafir
    Şifreyi md5 ile sessiona kaydedin. Şifre kontrol yaptırın şifre değişmiş ise session_unset yaptirin böylesi daha iyi olacaktır.
    • Mustafa1379
    Mustafa1379 bunu beğendi.
    1 kişi bunu beğendi.
  • 15-11-2022, 19:31:45
    #6
    Mustafa1379
    Mustafa1379
    slipknot adlı üyeden alıntı: mesajı görüntüle
    md5 kullanmayın artık kırılıyor,
    sha256 kullanabilirsiniz , kullanıcı adı + şifre + salt(anlık saat dk olur,random karakterler olur aklınıza ne gelirse sadece sunucunun bilebileceği bir key olacak,bir nevi private key) ile token oluşturun ister kullanıcı tarafında localstorage a ister sunucu tarafında olarak kayıt edip kullanabilirsiniz.
    Localstorage a kayıt edecekseniz her istekde bu keyi de göndermeniz gerekecek.

    Yada hiç uğraşmayın hazır kütüphaneler var https://jwt.io/libraries
    Şu şekilde olur mu?
    Mesela kullanıcı adı ve şifre girildi doğru ise $_SESSİON['log']=$essiz_token
    Olacak yani oturumu açık biri örneğin ilanlarım sayfasına girdiğinde sessiondan kullanıcı id çekerek değil de o anki token ile verileri getirtecek
  • 15-11-2022, 19:39:17
    #7
    Mustafa1379
    Mustafa1379
    Misafir adlı üyeden alıntı: mesajı görüntüle
    Şifreyi md5 ile sessiona kaydedin. Şifre kontrol yaptırın şifre değişmiş ise session_unset yaptirin böylesi daha iyi olacaktır.
    Tamam, session da kullanıcının id si olması güvenlik açığı yaratır mı? Çünkü dediğiniz yöntem ile kullanıcının şifresi değişirse oturumu kapatıyor. Ama kullanıcı id session da kalmaya devam ediyor.
  • 15-11-2022, 21:43:08
    #8
    Misafir
    Misafir
    Mustafa1379 adlı üyeden alıntı: mesajı görüntüle
    Tamam, session da kullanıcının id si olması güvenlik açığı yaratır mı? Çünkü dediğiniz yöntem ile kullanıcının şifresi değişirse oturumu kapatıyor. Ama kullanıcı id session da kalmaya devam ediyor.
    Session_unset yaptığın zaman sessionlar silinir kullanicidan
    • Mustafa1379
    Mustafa1379 bunu beğendi.
    1 kişi bunu beğendi.
  • 15-11-2022, 21:46:26
    #9
    Mustafa1379
    Mustafa1379
    Misafir adlı üyeden alıntı: mesajı görüntüle
    Session_unset yaptığın zaman sessionlar silinir kullanicidan
    Teşekkürler, Siliniyor ama şifre değişirse siliniyor. Ben şifre değişirse sessionlar silinmesini istemiyorum ki session da kullanıcı id olması ve o kullanıcı id ile işlem yapmak güvenlik açığı yaratır mı onu öğrenmek istiyorum ve id yerine her oturumda verilen token kullanmak iyi olur mu diye öğrenmek istiyorum.