CodeIgniter session helfen, cookies sind nicht sicher?

Ich bin gerade erst in das lernen über Sitzungen, und für meine Zwecke, ich möchte etwas schaffen, das bei jeder Anfrage vom client, der server authentifiziert Benutzer, und nur dann ausführt, Daten-handling für die Benutzer.

Jedoch, ich habe gesehen, dass viele Beispiele mit CodeIgniter, wo die Sitzung eingerichtet ist, als so:

$this->load->library('session');

$newdata = array(
               'username'  => 'johndoe',
               'email'     => '[email protected]',
               'logged_in' => TRUE
           );

$this->session->set_userdata($newdata);

Aber könnte nicht jemand einfach nur einen cookie auf Ihrem computer mit einem gemeinsamen Benutzernamen und das 'logged_in' state auf true, und plötzlich bist du authentifiziert, ohne das Passwort? Dies scheint eine Schwachstelle zu mir, aber ich sehe so viele Beispiele wie dieses.

Was ist der richtige Weg, um die Authentifizierung des Benutzers bei jeder Anfrage?

Fragen sich das gleiche: warum nicht CI nur benutzen, php-sessions und bieten irgendeine Art von CI-ish-Schnittstelle? Es ist wahr, dass Sie können die Datenbank verwenden, aber was ist falsch mit dem 'normalen' Sitzungen in den ersten Platz?
Codeigniter session-Bibliothek ist da, um Sitzungen mehr fexible, und nehmen Sie die Arbeit aus dem Umgang mit sessions. Es funktioniert sehr gut und wenn Sie beim speichern der sessions in der Datenbank Kräfte Validierung einer eindeutigen session-ID. Codeigniter Griffe transparent sowohl die Einstellung und überprüfung der session-id. Es besteht eine Schnittstelle zum einheitlichen Sitzungen für codigniter hier: codeigniter.com/wiki/Native_session
"Session" bedeutet nicht "Cookie". Sitzung nur auf dem server vorhanden ist, und out-of-direct-Reichweite der Angreifer. Das Cookie enthält eine Sitzungs-id, das ist eine undurchsichtige und zufällige Zeichenfolge. Der server verwendet die sessionid zu lookup session-Objekt für den aktuellen Benutzer. Kurz gesagt, das cookie enthält nicht den Benutzernamen/E-Mail/logged_in Fahnen, und damit ein Angreifer nicht ändern können, die Sie direkt
das ist einfach nicht wahr für codeigniter.
Danke für den Hinweis. Ich habe gerade gelesen, codeigniter.com/user_guide/libraries/sessions.html, und Sie haben Recht - CodeIgniter-Griffe-Sitzung anders.

InformationsquelleAutor Nick | 2010-06-28

  1. 9

    In der application/config/config.php Datei von Ihrem codigniter installieren, können Sie wählen, zu verschlüsseln Sie Ihre cookies.

    $config['sess_cookie_name']  = 'ci_session';
$config['sess_expiration']  = 7200;
$config['sess_encrypt_cookie'] = TRUE;  //set from false to TRUE

    Sobald dieser festgelegt ist, der set_userdata() und userdata () - Methoden transparent Griff für das verschlüsseln und das entschlüsseln des session-Daten.

    Eine vollständige Liste der codigniter session-config-Optionen ist an der Unterseite von dieser Seite:

    http://codeigniter.com/user_guide/libraries/sessions.html

    Okay, das klingt gut. Das einzige, was ich mich Frage, ist dies so sicher wie die Speicherung von session-Daten in einer Datenbank? Wenn jemand Rissen die cookie-Verschlüsselung, Sie können jetzt Schmieden Sie einen cookie für einen Nutzer (erraten von Benutzernamen), anstatt nur den Zugriff auf ein Benutzerkonto.
    Wenn es ein Anliegen ist, warum nutzen Sie nicht die Datenbank für die Speicherung von sessions? Auf diese Weise können Sie überprüfen, session-ID ' s zusätzlich zu den mit dem cookie verschlüsselt. Wenn Sie besorgt sind, mit Sicherheit, Sie in der Tat sollte werden mit der Datenbank. Siehe Speichern von Session-Daten in einer Datenbank - Abschnitt des CI user guide: demos.softaculous.com/CodeIgniter/user_guide/libraries/...

    InformationsquelleAutor Bella

  2. 2

    Wenn Sie möchten, eine erhöhte Sicherheit können Sie wählen, zu speichern session-Daten in der Datenbank durch ändern der folgenden Zeilen in Ihre CodeIgniter config.php:

    $config['sess_use_database']    = TRUE;
$config['sess_table_name']      = 'ci_sessions';

    Dann, einfach erstellen Sie die folgende Tabelle:

    CREATE TABLE IF NOT EXISTS  `ci_sessions` (
    session_id varchar(40) DEFAULT '0' NOT NULL,
    ip_address varchar(16) DEFAULT '0' NOT NULL,
    user_agent varchar(120) NOT NULL,
    last_activity int(10) unsigned DEFAULT 0 NOT NULL,
    user_data text NOT NULL,
    PRIMARY KEY (session_id),
    KEY `last_activity_idx` (`last_activity`)
);
    Eine schöne Erklärung hier: christopherickes.com/web-app-development/..., die auch schlägt ändern: $config['sess_cookie_name'] = 'ci_session'; $config['sess_cookie_name'] = 'cisession'; für IE Kompatibilität

    InformationsquelleAutor dbau

Schreibe einen Kommentar