Pagine → 1 2
27/04/2020 09:39:57
Breaker tu parli di session hijacking? Perchè il punto, come dicevo sopra, è il session id... Il resto delle variabili sono gestite lato server, e a quel punto che qualcuno riuscisse a spostarsi da una mappa all'altra sarebbe l'ultimo dei miei problemi.
Ad ogni modo avevo già previsto l'aggiornamento della sessione con session_regenerate_id, per rendere un po' più robusto il tutto in fase di login.
Scusa se insisto, ma non riesco a capire il nocciolo.
Cioè tu mi dici che anche con i mille controlli che ti ho elencato, qualcuno potrebbe modificare il proprio $_SESSION['luogo'] per aggirare i miei controlli perchè quella variabile si inserisce negli update delle query a DB.
Ma come? Sono variabili lato server, e a parte l'ID non sono salvate sul client come cookie.
Ho fatto anche varie ricerche il rete, e gli attacchi sulle sessioni prevedono comunque una violazione dell'ID o della login.
Premesso che nessun sistema può essere sicuro al 100%, dove vedi questà particolare debolezza, tenuto conto che aggiorno anche l'ID di sessione?
Grazie
29/04/2020 22:33:53
Preferisco non entrare nel dettaglio in quanto essendo la maggior parte delle land basate su GDRCD rischio di comprometterle tutte.
Considera che GDRCD e' poco più di un esercizio di php procedurale, qualcosa che al giorno d'oggi viene etichettato come bad practicies.
In linea teorica tutti i tuoi file non dovrebbero essere pubblici, dovresti lasciare raggiungibili tramite url solo index ed i file css, js, imgs, fonts, etc.
Da qui puoi capire che la struttura di GDRCD non e' il massimo, a questo aggiungiamoci che non abbiamo implementato SSL, non vi sono prevenzioni di csfr o xss.
Per quanto riguarda la sessione si basa tutto su un session_start(), non e' stata implementata nessuna chiave di crittografia.
Quindi e' molto facile "fingersi" qualcunaltro ad esempio il gestore...
Non ti scrivo altro altrimenti rischiamo di compromettere gran parte delle land.
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
Il gestore di Exclusive Villa GdR ha risposto alla recensione di sparhawack
New Orleans: Nuova Trama - Ottobre 2025
Dark Genesis → Ascendi al cielo in Dark Genesis! Raduna potenti semidei, costruisci il tuo impero volante e scontrati in battaglie divine!
I dati del generatore di rank sono stati aggiornati!
Mondo Hogwarts: Sull'Hogwarts Express!
New Star Wars Gdr: Quest Vocale: Boom-Boom Glitter...stim
RAID Shadow Legends: Riequilibrare il set di attrezzi Chronofage
CRSED: F.O.A.D. → Brutale sparatutto MMO in cui vince l'ultimo giocatore che resta in vita! Il giocatore sarà accompagnato da armi realistiche e magie!
Enlisted: Modifiche al punteggio di battaglia delle armi
Le Cronache di Raja Dunia: Rework Razza Umani
Shadow Scape: ✨ Ritorno dalle vacanze!
Storie di Agarthi: Quest: alla ricerca d'un varco per il limbo
Crossout → Tuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!
RAID Shadow Legends: Aggiornamento 10.70.0 👹
Il gestore di Age of Crystals ha risposto alla recensione di bloodymary1900
Nyx Insight - Project S.E.T.: Comunicazione / Riassetto
glaucozilla ha recensito La Tana del Ladro
Dark Genesis → Ascendi al cielo in Dark Genesis! Raduna potenti semidei, costruisci il tuo impero volante e scontrati in battaglie divine!
KnightMyth - Intervista ai gestori del GdR KnightMyth ambientato nel mondo di Harry Potter
Intervista YouRole - Intervista al creatore del gdr multi-ambientazione "YouRole"
Statistiche Tecniche 2014 - Gdr-online.com pubblica i dati tecnici dei suoi visitatori per l'anno 2014. Spulcia i dati disponibili!
Incassi dei Giochi! - I giochi online che incassano di più ogni minuto in quest stramba classifica! ;)
ShadowNights - Intervista allo staff di ShadowNights.. il play by chat di Shadowhunters!
Colombia GDR - Intervista alla gestione di Colombia GDR.. il play by chat del narcotraffico!
Il Power Player - L'espressione Power Player é entrata nell'immaginario collettivo come sinonimo di pg che vogliono vincere
Musica e Videogame - Il ruolo della musica nei videogame - esempi a confronto. Scarica la tesi!
Seconda Era ↗
