دسترسی به اطلاعات ذخیره شده در جلسات

[delphii]

میخواستم بدونم راهی برای دست رسی به اطلاعات ذخیره شده در جلسات هست .

البته من id جلسه رو دارم فقط میخوام اطلاعات مربوط به اون جلسه رو داشته باشم .


می دونمم که جلسه فقط تا زمانی که کاربر انلاین هست وجود داره و بعد از اون از بین میره

 

[ziXet]

میخواستم بدونم راهی برای دست رسی به اطلاعات ذخیره شده در جلسات هست .

البته من id جلسه رو دارم فقط میخوام اطلاعات مربوط به اون جلسه رو داشته باشم .


می دونمم که جلسه فقط تا زمانی که کاربر انلاین هست وجود داره و بعد از اون از بین میره

منظورت از جلسات چیه؟
همون جلسه هایی که خودت ذخیره کردی؟
با $_SESSION['sess_name'] میتونی بگیریش

 

[delphii]

نه مثل اینکه منظورم رو درست متوجه نشدین

من id جلسات تشکیل شده تو یک سایت دیگه رو دارم

حالا میخواستم بدونم از طریق این id میشه به اطلاعات ذخیره شده در جلسه دسترسی داشت

 

[ziXet]

نه مثل اینکه منظورم رو درست متوجه نشدین

من id جلسات تشکیل شده تو یک سایت دیگه رو دارم

حالا میخواستم بدونم از طریق این id میشه به اطلاعات ذخیره شده در جلسه دسترسی داشت

نه نمیشه!

شما دسترسی به فولدر tmp یا هر فولدری که سشن ها توش ذخیره میشن رو نداری!

 

[delphii]

ممنون

 

[delphii]

ممنون


ولی اگه راهی وجود داشت من منتظرم

 

[I.NoBody]

ممنون


ولی اگه راهی وجود داشت من منتظرم

مي دونم كه ميشه با شبيه سازي مرورگر، يه كار هايي كرد. ولي تا حالا روش وقت نذاشتم.
گفتم اينو بگم شايد يه جرقه اي بزنه.
ولي به هر حال اگر دسترسي به سشن يه سرور به اين راحتي باشه، امنيت خيلي نا امن ميشه

 

[ziXet]

مي دونم كه ميشه با شبيه سازي مرورگر، يه كار هايي كرد. ولي تا حالا روش وقت نذاشتم.
گفتم اينو بگم شايد يه جرقه اي بزنه.
ولي به هر حال اگر دسترسي به سشن يه سرور به اين راحتي باشه، امنيت خيلي نا امن ميشه

چه ربطی به شبیه سازی مرورگر داره؟
من هنوز منظرشو از id سشن نفهمیدم!

 

[I.NoBody]

چه ربطی به شبیه سازی مرورگر داره؟
من هنوز منظرشو از id سشن نفهمیدم!

ببین عزیز من، شما احتمالاً از php ورژن 4.3 به بالا شروع به کار با PHP کردی.(احتمالاً)
بذار یه توضیح کوچولو بدم(گرچه خودت استادی) :
وقتی سشنی سمت سرور ست میشه، برای هر کاربر، یک آی دی منحصر به فرد داره.
مثلاً برای من یه فایل سشن به نام 568326548623768764 ست میشه و برای شما یه عدد دیگه. (البته می تونه حروف هم توی نامش باشه).
قدیما، بعضی از برنامه نویس ها، این آی دی ها رو خودشون کنترل می کردند ولی به نظر من نیازی نیست.
در هر صورت شما اگر آی دی سشن یک کاربر و مسیر ذخیره سازی اش رو بدونی و دسترسی لازم رو بهشون داشته باشی، به راحتی می تونی اطلاعات اون کاربر رو ببینی چون یک فایل متنی ساده هست.
ضمناً مساله مرورگر هم کاملاً ربط داره چون یه مرورگر گاهی اوقات می تونه فراتر از دسترسی عمومی عمل کنه

 

[yakoza]

ببین عزیز من، شما احتمالاً از php ورژن 4.3 به بالا شروع به کار با php کردی.(احتمالاً)
بذار یه توضیح کوچولو بدم(گرچه خودت استادی) :
وقتی سشنی سمت سرور ست میشه، برای هر کاربر، یک آی دی منحصر به فرد داره.
مثلاً برای من یه فایل سشن به نام 568326548623768764 ست میشه و برای شما یه عدد دیگه. (البته می تونه حروف هم توی نامش باشه).
قدیما، بعضی از برنامه نویس ها، این آی دی ها رو خودشون کنترل می کردند ولی به نظر من نیازی نیست.
در هر صورت شما اگر آی دی سشن یک کاربر و مسیر ذخیره سازی اش رو بدونی و دسترسی لازم رو بهشون داشته باشی، به راحتی می تونی اطلاعات اون کاربر رو ببینی چون یک فایل متنی ساده هست.
ضمناً مساله مرورگر هم کاملاً ربط داره چون یه مرورگر گاهی اوقات می تونه فراتر از دسترسی عمومی عمل کنه

خوب اگه راه حلی برای این کار داری بگو

ولی فکر نکنم به این راحتی که شما میگین با داشتن ای دی سشن بشه به اطلاعاتش دسترسی پیدا کرد

 

[ziXet]

ببین عزیز من، شما احتمالاً از php ورژن 4.3 به بالا شروع به کار با PHP کردی.(احتمالاً)
بذار یه توضیح کوچولو بدم(گرچه خودت استادی) :
وقتی سشنی سمت سرور ست میشه، برای هر کاربر، یک آی دی منحصر به فرد داره.
مثلاً برای من یه فایل سشن به نام 568326548623768764 ست میشه و برای شما یه عدد دیگه. (البته می تونه حروف هم توی نامش باشه).
قدیما، بعضی از برنامه نویس ها، این آی دی ها رو خودشون کنترل می کردند ولی به نظر من نیازی نیست.
در هر صورت شما اگر آی دی سشن یک کاربر و مسیر ذخیره سازی اش رو بدونی و دسترسی لازم رو بهشون داشته باشی، به راحتی می تونی اطلاعات اون کاربر رو ببینی چون یک فایل متنی ساده هست.
ضمناً مساله مرورگر هم کاملاً ربط داره چون یه مرورگر گاهی اوقات می تونه فراتر از دسترسی عمومی عمل کنه

خب با id سشن میخوای چی کار کنی؟
شما کلاینت هستی میخوای با curl بری سشن یکی دیگه رو ببینی؟

واقعا فکر کردی اینقدر امنیت پایینه؟!

 

[ziXet]

ببین عزیز من، شما احتمالاً از php ورژن 4.3 به بالا شروع به کار با PHP کردی.(احتمالاً)

راستی چه ربطی به ورژن php داره این بحث؟

 

[I.NoBody]

خب با id سشن میخوای چی کار کنی؟
شما کلاینت هستی میخوای با curl بری سشن یکی دیگه رو ببینی؟

واقعا فکر کردی اینقدر امنیت پایینه؟!

خوب اگه راه حلی برای این کار داری بگو

ولی فکر نکنم به این راحتی که شما میگین با داشتن ای دی سشن بشه به اطلاعاتش دسترسی پیدا کرد

عزيزان، من توي پاسخ اولم گفتم كه راه حلي ندارم. چون اصلاً روش كار نكردم.
ولي يه فرضيه ارائه دادم كه 100% هم مطمئن نيستم. خودم فعلاً وقتشو ندارم كه فرضيه امو اثبات يا رد كنم.
چون ميدونم اگه بتونيم مرورگر خوبي رو شبيه سازي كنيم( يه مرورگر قويتر از مرورگر ساده اي كه توي ajax استفاده مي كنيم)، كار هاي بيشتري ميتونيم باهاش انجام بديم، اون مطلب رو مطرح كردم و همونطور كه گفتم قصدم ايجاد جرقه بود.
اگر كسي وقتشو داره يا اطلاعاتي داره مي تونه بررسي اش كنه. شايد هم خودم يه روزي اين كارو كردم.
راستي يه سوال : اگر اطلاعات سشن كاملاً دست نيافتني هست، چرا همواره توصيه شده پسوردها و اطلاعات امنيتي رو بطور مستقيم توي سشن ذخيره نكنيم؟

در هر صورت من فعلاً دليلي براي اطمينان كامل از اين موضوع ندارم ولي اطمينان كامل از عدم تحققش هم ندارم.
به هيچ وجه هم نگفتم راحته و به هيچ وجه از curl انتظار انجام اين كارو ندارم

 

[I.NoBody]

راستی چه ربطی به ورژن php داره این بحث؟

من نمي دونم شما چرا فكر مي كني هيچ چيز به هيچ چيز ربط نداره و همه حرف ها بايد مستقل زده بشه.
شما قبلاً اين جمله رو گفتي :

من هنوز منظرشو از id سشن نفهمیدم!

خوب حتماً شما هيچوقت نيازي به كنترل و استفاده از id سشن نداشتي كه اين مطلب رو متوجه نشدي.

 

[delphii]

بابت تمام نظراتی که دادین ممنونم .

من هم با این نظر موافقم که امنیت سیشن های ایجاد شده اوقدر هم بالا نیست و همیشه میشه یک راه برای نفوذ پیدا کرد.

وقتی میشه به id یه سیشن دسترسی داشت شاید بشه به اطلاعات اون هم دسترسی داشت .

 

[ziXet]

من نمي دونم شما چرا فكر مي كني هيچ چيز به هيچ چيز ربط نداره و همه حرف ها بايد مستقل زده بشه.
شما قبلاً اين جمله رو گفتي :

خوب حتماً شما هيچوقت نيازي به كنترل و استفاده از id سشن نداشتي كه اين مطلب رو متوجه نشدي.

من منظورشو از id سشن فهمیدم ولی وقتی گفت اینو یکاریش بکنید من شک کردم!

در ضمن اونی که تو url ذخیره میشه خود سشن هست نه id سشن

 

[ziXet]

بابت تمام نظراتی که دادین ممنونم .

من هم با این نظر موافقم که امنیت سیشن های ایجاد شده اوقدر هم بالا نیست و همیشه میشه یک راه برای نفوذ پیدا کرد.

وقتی میشه به id یه سیشن دسترسی داشت شاید بشه به اطلاعات اون هم دسترسی داشت .

بذار من بیشتر راجع بهش تحقیق کنم....

 

[yakoza]

من هم با این نظر موافقم که امنیت سیشن های ایجاد شده اوقدر هم بالا نیست و همیشه میشه یک راه برای نفوذ پیدا کرد.

در حالت عادی شاید حرف شما درست باشه ولی وقتی شما یه کارای در جهت افزایش امنیت سشنها انجام بدید دیگی حرفی برای گفتن نمیمونه

مثلا من چندتا نمونه میگم
یکیش اینه که با session_save_path مسیر ذخیره شدن سشنها رو عوض کنیم یا قبل از ست کردن سشن یه بار ایدیشو ریجنریت کنیم

<?php
session_start();
if (!isset($_SESSION['initiated']))
{
session_regenerate_id();
$_SESSION['initiated'] = true;
}
?>

 

[yakoza]

چون ميدونم اگه بتونيم مرورگر خوبي رو شبيه سازي كنيم( يه مرورگر قويتر از مرورگر ساده اي كه توي ajax استفاده مي كنيم)، كار هاي بيشتري ميتونيم باهاش انجام بديم، اون مطلب رو مطرح كردم و همونطور كه گفتم قصدم ايجاد جرقه بود.

منظورتو متوجه نشدم

يه مرورگر قويتر از مرورگر ساده اي كه توي ajax استفاده مي كنيم

این یعنی چی ؟ ajax چه ربطی به مرورگر داره ؟

 

[I.NoBody]

منظورتو متوجه نشدم



این یعنی چی ؟ ajax چه ربطی به مرورگر داره ؟

شما اولبن کاری که توی AJAX انجام میدید، یک مرورگر ساده ایجاد میکنید که میتونید بهش بگید به کدوم url و در چه شرایطی بره و نتیجه رو برگردونه. بعدش شما روی نتیجه کار میکنید و تصمیم میگیرید.
اولین تفاوتش با مرورگر هایی مثل IE و FF در اینه که اون مرورگر ها رو کاربر میبینه ولی مرورگر شما رو کد برنامه میبینه و کاربر اصلاً از وجودش آگاهی هم نداره.