Pagine → 1 2
27/04/2020 09:39:57
Breaker tu parli di session hijacking? Perchè il punto, come dicevo sopra, è il session id... Il resto delle variabili sono gestite lato server, e a quel punto che qualcuno riuscisse a spostarsi da una mappa all'altra sarebbe l'ultimo dei miei problemi.
Ad ogni modo avevo già previsto l'aggiornamento della sessione con session_regenerate_id, per rendere un po' più robusto il tutto in fase di login.
Scusa se insisto, ma non riesco a capire il nocciolo.
Cioè tu mi dici che anche con i mille controlli che ti ho elencato, qualcuno potrebbe modificare il proprio $_SESSION['luogo'] per aggirare i miei controlli perchè quella variabile si inserisce negli update delle query a DB.
Ma come? Sono variabili lato server, e a parte l'ID non sono salvate sul client come cookie.
Ho fatto anche varie ricerche il rete, e gli attacchi sulle sessioni prevedono comunque una violazione dell'ID o della login.
Premesso che nessun sistema può essere sicuro al 100%, dove vedi questà particolare debolezza, tenuto conto che aggiorno anche l'ID di sessione?
Grazie
29/04/2020 22:33:53
Preferisco non entrare nel dettaglio in quanto essendo la maggior parte delle land basate su GDRCD rischio di comprometterle tutte.
Considera che GDRCD e' poco più di un esercizio di php procedurale, qualcosa che al giorno d'oggi viene etichettato come bad practicies.
In linea teorica tutti i tuoi file non dovrebbero essere pubblici, dovresti lasciare raggiungibili tramite url solo index ed i file css, js, imgs, fonts, etc.
Da qui puoi capire che la struttura di GDRCD non e' il massimo, a questo aggiungiamoci che non abbiamo implementato SSL, non vi sono prevenzioni di csfr o xss.
Per quanto riguarda la sessione si basa tutto su un session_start(), non e' stata implementata nessuna chiave di crittografia.
Quindi e' molto facile "fingersi" qualcunaltro ad esempio il gestore...
Non ti scrivo altro altrimenti rischiamo di compromettere gran parte delle land.
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Segui Discussione Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
nick nightingale ha risposto alla discussione: Far tornare di moda il PBC
New Orleans: [Lato Tecnico] Migliorie al mercato
Hero Wars → Costruisci la tua squadra di eroi leggendari e domina il campo di battaglia! Strategia, tattica e potenza si scontrano in questo RPG ricco di azione!
Fairy Tail GDR: ⚙️ Programmazione: miglioramenti vari!
Portus: Harry Potter Gioco di Ruolo: [Novembre]: 🔥ultimi aggiornamenti🔥
Hero Wars: Novembre sarà una cavalcata selvaggia! ✨
Enlisted: Operazione "Le porte del destino"
Raja Dunia → Tra verità divine e menzogne eterne, la tua anima è la chiave. Scopri Raja Dunia, e riscrivi il fato del Continente con armi e magia, fede o eresia.
Gioco più visitato di Ottobre 2025: Black Sails Chronicles
I dati del generatore di rank sono stati aggiornati!
piripicchia ha recensito Black Sails Chronicles
Il Grande Blu: [Evento] Red Line Vs Grand Line. Cosa succederà?
War Thunder → Aviazione, veicoli corazzati e flotte militari della seconda guerra mondiale. Parteciperai a tutte le principali battaglie!
War Thunder: Festeggiamo insieme il 13° anniversario!
Hogwarts Ends: Hogwarts e Ministero ad Halloween 🎃 👻
Portus: Harry Potter Gioco di Ruolo: Halloween col botto: Ministero e Hogsmeade colpiti
Age of Crystals: Carnevale degli Orrori 4° Edizione!
RAID Shadow Legends → Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!
Altervista e i GdR - Il blog ufficiale di Altervista parla dei nostri amati giochi di ruolo online!
Dalemyr - Intervista al gestore di Dalemyr.. il play by chat ambientato nei Forgottem Realms di Dungeons and Dragons!
Roma Imperiale GdR - Intervista al gestore del Gdr "Roma Imperiale"
Barcellona by Night - Recensione del gioco ambientato in una Barcellona più oscura e malvagia della reale..
Westeros GDR - Intervista allo staff di Cronache del Ghiaccio e del Fuoco GDR al gran completo!
Il Fattore C - Per fattore C s’intende, ovviamente, l’esclamazione «Che fortuna!», pronunciata spesso in ambito ludico.
Atlantide - La leggenda di Atlantide... leggenda... mito... archeologia
New Orleans ↗
