Komentarze i odpowiedzi, posortowane dla odmiany chronologicznie do strony:

mozesz miec sesje w php bez uzycia ciasteczek, wtedy nie ma phpssid . Wszystko wyglada normalnie, jakby nie bylo sesji... jednak, jesli nie istnieje sesja wa w sesji zmienna $user, $password strona sie nie wyswietla.

Stosowanie md5 nie jest zalecane, jakiś czas temu ktoś znalazł metodę na znalezienie ciągu znaków który da takie samo md5 jak poszukiwane w parę godzin na PCcie. Ja stosuję sha1.

Do tego co napisał Lemat można dodać jeszcze taki wodotrysk jak dodatkowy token generowany podczas każdego odświeżania zabezpieczonej strony. Token może być zapisywany np. w tabeli SQL składającej się z pol np. id_sesji_php, token, lifetime(czas ważnosci tokena). po wygenerowaniu i zapisaniu tokena w tabeli wysyła go w postaci np. ciastka. Przy kolejnym odświeżeniu, przejściu pomiędzy stronami klient musi odesłać prawidłowy stary token. Jak jest OK to dostaje nowy do otwarcia kolejnej strony. Jak jest Be, to do widzenia-uwalamy sesję PHP, i logout. Wiadomo, że można przechwycić także i ten token ale jednak może to być bardziej upierdliwe dla włamywacza, zwłaszcza, że pomiędzy czasem przechwytu a próbą wykorzystania tokena i sesji PHP jest bardzo prawdopodobne że straci on ważność.

md5 - faktycznie nie jest już bezpieczny. Ale podobnie ma się sprawa z sha-1. Obecnie sha-256 to minimum sensowności. Dostępne w bibliotece MCrypt. Tylko zadajmy sobie jedno pytanie: czy to naprawdę ma sens? Wszak md5($haslo.$secretstring) i tak jest w naszej bazie. W momencie jeśli ktoś się wbije do naszej bazy to i tak mamy pozamiatane i nic nam nie pomoże - jaki jest sens stosowania NAPRAWDĘ skutecznych funkcji skrótu? Webmaster jak zechce to hasło pozna, a lepiej skoncentrować się na zabezpieczeniu przed SQL Injection itp niż na złudnym poczuciu bezpieczeństwa oferowanym przez SHA-1048576 ;-)

a ja zrobilem ostatnio wlasny engine obslugi sesji dla php. zabezpieczen jest sporo: - 64-znakowy SID, ktory ma okreslona skladnie i jest ona za kazdym razem sprawdzana (w cookie widoczny jest bezsensowny dlugi ciag duzych i malych liter oraz cyfr) - 32-znakowy VK (verification key) - dodatkowe zabezpieczenie dla SID'a - konrola adresu IP engine sesji napisany jest jako statyczna klasa PHP5 sesje moga byc albo zapisywane w MySQL albo w plikach na serwerze - w zaleznosci od konfiguracji silnika. Jesli ktos jest zainteresowany, prosze o maila: borys.forytarz [AT] pjwstk [DOT] edu [DOT] pl

"blokowanie możliwości logowania spoza sieci wewnętrznej firmy" czyli po prostu postawienie aplikacji na serwerze bez fizycznego dostępu do internetu - i mamy spokój, no chyba że pracownicy zechcą coś zbroić Ostatnio taki manewr zastosowałem i przynajmniej śpię spokojnie nie martwiąc się wciąż o sekjuriti