http://www.phpguru.cz Dokonalosti není dosaženo tehdy, když už není co přidat, ale tehdy, když už nemůžete nic odebrat. (Antoine de Saint-Exupéry) Thu, 29 Apr 2010 21:25:57 +0000 http://wordpress.org/?v=2.9.2 cs hourly 1 http://www.phpguru.cz/clanky/predavani-sid-pomoci-cookies http://www.phpguru.cz/clanky/predavani-sid-pomoci-cookies#comments Fri, 11 Sep 2009 21:07:43 +0000 Jan Tichý http://www.phpguru.cz/?p=154 Jak jsem ukázal v článku „Session ID do URL nepatří“, základním pravidlem je uchovávat a předávat si session ID výhradně s pomocí cookies. Dneska bych rád zmínil některá důležitá nastavení, která s tím souvisí.

]]> http://www.phpguru.cz/clanky/predavani-sid-pomoci-cookies/feed 3 http://www.phpguru.cz/clanky/sid-do-url-nepatri http://www.phpguru.cz/clanky/sid-do-url-nepatri#comments Fri, 04 Sep 2009 16:15:34 +0000 Jan Tichý http://www.phpguru.cz/?p=125 V článku „Session hijacking aneb ukradení session ID“ jsem předeslal, že předávání SID přímo pomocí parametrů v URL je špatné. Lze na ně totiž použít drtivou většinu všech útoků pro ukradení či podvržení SID, zatímco předávání pomocí cookies je proti mnohým z nich relativně odolné. Pojďme se na to podívat blíže.

]]> http://www.phpguru.cz/clanky/sid-do-url-nepatri/feed 6 http://www.phpguru.cz/clanky/sidejacking http://www.phpguru.cz/clanky/sidejacking#comments Mon, 22 Dec 2008 02:38:41 +0000 Jan Tichý http://www.phpguru.cz/?p=49 V předchozím článku jsem zeširoka nakousl session hijacking jako úvod do dalších brzkých dílů. Ale jak už to tak při psaní blogísku bývá s volným časem, je ho čím dál méně, takže pokračování přichází až teď, po třech měsících. No nic, podívejme se na první možnost krádeže Session ID, kterou je Sidejacking čili odchycení SID z běžného sítového provozu.

]]> http://www.phpguru.cz/clanky/sidejacking/feed 6 http://www.phpguru.cz/clanky/session-hijacking http://www.phpguru.cz/clanky/session-hijacking#comments Fri, 12 Sep 2008 19:35:54 +0000 Jan Tichý http://www.phpguru.cz/?p=48 Ukradení SID oprávněnému uživateli se obvykle označuje jako Session stealing nebo častěji Session hijacking. Existuje více cest, jak lze SID ukrást a získat tak třeba přístup k účtu daného uživatele. V příštích několika článcích se pokusím uvést všechny důležité útoky a zejména možnosti, jak se lze Session hijackingu v PHP bránit.

]]> http://www.phpguru.cz/clanky/session-hijacking/feed 3 http://www.phpguru.cz/clanky/cross-site-scripting http://www.phpguru.cz/clanky/cross-site-scripting#comments Fri, 22 Feb 2008 09:02:38 +0000 Jan Tichý http://www.phpguru.cz/clanky/cross-site-scripting Cross-site scripting, označovaný obvykle zkratkou XSS, patří k nejznámějším útokům vůbec. Ačkoliv o něm již bylo napsáno mnoho, jsou díry umožňující XSS i nadále jedněmi z nejčastějších chyb současných webových aplikací. Není tedy od věci si jej připomenout i zde.

]]> http://www.phpguru.cz/clanky/cross-site-scripting/feed 6 http://www.phpguru.cz/clanky/nenechte-uhodnout-sid http://www.phpguru.cz/clanky/nenechte-uhodnout-sid#comments Thu, 31 Jan 2008 23:55:36 +0000 Jan Tichý http://www.phpguru.cz/clanky/nenechte-uhodnout-sid Při práci se sessions si mezi sebou server a klient neustále vyměňují SID. Jedná se o náhodně vygenerovaný token, podle kterého si server páruje dohromady jednotlivé požadavky konkrétního návštěvníka. Kdo zná SID, ten má přístup i k celé příslušné session. Protože se na sessions obvykle váží takové citlivé věci, jako je přihlášení uživatele, stává se bezpečnost SID jedním z kritických míst aplikace. A jak ukážu v závěru článku, problém je obecnější a netýká se zdaleka jen sessions.

]]> http://www.phpguru.cz/clanky/nenechte-uhodnout-sid/feed 15