Pagine → 1 2
27/04/2020 09:39:57
Breaker tu parli di session hijacking? Perchè il punto, come dicevo sopra, è il session id... Il resto delle variabili sono gestite lato server, e a quel punto che qualcuno riuscisse a spostarsi da una mappa all'altra sarebbe l'ultimo dei miei problemi.
Ad ogni modo avevo già previsto l'aggiornamento della sessione con session_regenerate_id, per rendere un po' più robusto il tutto in fase di login.
Scusa se insisto, ma non riesco a capire il nocciolo.
Cioè tu mi dici che anche con i mille controlli che ti ho elencato, qualcuno potrebbe modificare il proprio $_SESSION['luogo'] per aggirare i miei controlli perchè quella variabile si inserisce negli update delle query a DB.
Ma come? Sono variabili lato server, e a parte l'ID non sono salvate sul client come cookie.
Ho fatto anche varie ricerche il rete, e gli attacchi sulle sessioni prevedono comunque una violazione dell'ID o della login.
Premesso che nessun sistema può essere sicuro al 100%, dove vedi questà particolare debolezza, tenuto conto che aggiorno anche l'ID di sessione?
Grazie
29/04/2020 22:33:53
Preferisco non entrare nel dettaglio in quanto essendo la maggior parte delle land basate su GDRCD rischio di comprometterle tutte.
Considera che GDRCD e' poco più di un esercizio di php procedurale, qualcosa che al giorno d'oggi viene etichettato come bad practicies.
In linea teorica tutti i tuoi file non dovrebbero essere pubblici, dovresti lasciare raggiungibili tramite url solo index ed i file css, js, imgs, fonts, etc.
Da qui puoi capire che la struttura di GDRCD non e' il massimo, a questo aggiungiamoci che non abbiamo implementato SSL, non vi sono prevenzioni di csfr o xss.
Per quanto riguarda la sessione si basa tutto su un session_start(), non e' stata implementata nessuna chiave di crittografia.
Quindi e' molto facile "fingersi" qualcunaltro ad esempio il gestore...
Non ti scrivo altro altrimenti rischiamo di compromettere gran parte delle land.
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
World of Warship → MMO gratuito con frenetiche battaglie navali ambientate nel ventesimo secolo. Salpa con la tua nave ed affronta i nemici!
guardaboschi ha recensito RAID Shadow Legends
Enlisted: Aggiornamento "Jet Power"
World of Warship: Capitan Bunny!
Enlisted → Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!
I dati del generatore di rank sono stati aggiornati!
Ardhalyce: Creazione di Oneshot
Il gestore di Hikaru No Tohei - Le Luci di Tohei ha risposto alla recensione di batsudeath
Il gestore di Hikaru No Tohei - Le Luci di Tohei ha risposto alla recensione di stefkerouac
Storie di Agarthi → Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!
nene_kurogawa ha recensito Age of Crystals
Hogwarts Express - Harry Potter GDR Forum: Qualcuno ha detto festa?!
Il portale raggiunge i 16.300 giochi catalogati! Grazie a tutti!
FragPunk: [Teaser] Il 25 Aprile... Dex-Tiny!
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
Creare Linguaggi - Come creare linguaggi per live e giochi di ruolo online...Tà ghén Mordor!
GDRPR e Giochi Online - GDPR (privacy) vademecum pratico per gestori di giochi online
Traduzione nella Terra di Mezzo - Le traduzioni di The Lord of the Rings di Vittoria Alliata di Villafranca e Ottavio Fatica
BattleMapp - BattleMapp, il tool gratuito per creare mappe per Giochi di Ruolo!
Gioco di Strategia - Ti piace la strategia militare? Ecco la lista dei giochi strategici!
Terre Invisibili - Il gestore di Terre Invisibili in una corposa intervista su uno dei primi gdr play by chat italiani
Terry Brooks - La biografia di uno dei più grandi autori viventi di romanzi fantasy
ClueTube - Intervista ai creatori di ClueTube il gioco online su YouTube che vi trasforma in veri detective!
