Pagine → 1 2
27/04/2020 09:39:57
Breaker tu parli di session hijacking? Perchè il punto, come dicevo sopra, è il session id... Il resto delle variabili sono gestite lato server, e a quel punto che qualcuno riuscisse a spostarsi da una mappa all'altra sarebbe l'ultimo dei miei problemi.
Ad ogni modo avevo già previsto l'aggiornamento della sessione con session_regenerate_id, per rendere un po' più robusto il tutto in fase di login.
Scusa se insisto, ma non riesco a capire il nocciolo.
Cioè tu mi dici che anche con i mille controlli che ti ho elencato, qualcuno potrebbe modificare il proprio $_SESSION['luogo'] per aggirare i miei controlli perchè quella variabile si inserisce negli update delle query a DB.
Ma come? Sono variabili lato server, e a parte l'ID non sono salvate sul client come cookie.
Ho fatto anche varie ricerche il rete, e gli attacchi sulle sessioni prevedono comunque una violazione dell'ID o della login.
Premesso che nessun sistema può essere sicuro al 100%, dove vedi questà particolare debolezza, tenuto conto che aggiorno anche l'ID di sessione?
Grazie
29/04/2020 22:33:53
Preferisco non entrare nel dettaglio in quanto essendo la maggior parte delle land basate su GDRCD rischio di comprometterle tutte.
Considera che GDRCD e' poco più di un esercizio di php procedurale, qualcosa che al giorno d'oggi viene etichettato come bad practicies.
In linea teorica tutti i tuoi file non dovrebbero essere pubblici, dovresti lasciare raggiungibili tramite url solo index ed i file css, js, imgs, fonts, etc.
Da qui puoi capire che la struttura di GDRCD non e' il massimo, a questo aggiungiamoci che non abbiamo implementato SSL, non vi sono prevenzioni di csfr o xss.
Per quanto riguarda la sessione si basa tutto su un session_start(), non e' stata implementata nessuna chiave di crittografia.
Quindi e' molto facile "fingersi" qualcunaltro ad esempio il gestore...
Non ti scrivo altro altrimenti rischiamo di compromettere gran parte delle land.
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
I dati del generatore di rank sono stati aggiornati!
Legacy of Magic: Gli Elementi Oscuri - La Nera Signora dell'Acqua
Metin2 → Sfida i tuoi rivali a battersi con te e dimostra la tua superiorità in questo mondo fantasy!
Il gestore di W40K Dathyar ha risposto alla recensione di dreamboy
dreamboy ha recensito W40K Dathyar
Metin2: Live ora: Server Boost Yohara e Twitch Drop
Storie di Agarthi → Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, diventa quello che hai sempre cercato.
Epic Wizardry RP: Changelog N. 4 - Epic Wizardry Rp
drongo ha recensito Il Grande Blu
Pirates of the Caribbean: Tides of War: Quarti di finale del torneo
DarkOrbit: Galactic Strife & Buono gratis 💥
Crossout → Tuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!
Legacy of Magic: Il vecchio e la mappa
outrunstaff ha risposto alla discussione: Project OutRun PbC
meleys ha aperto un annuncio di ricerca: Westeros GDR ricerca Tester
Enlisted → Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!
Storie GdR - Come creare una storia coinvolgente per un gioco di ruolo?
Naruto x Boruto - Intervista allo staff del play by chat Naruto x Boruto GDR - New Rebirth!
Creazione Personaggio - Alcune semplici consigli su come creare un personaggio per gdr
GdR by Forum su Altervista - Lista dei giochi di ruolo play by forum sul circuito Altervista
Sociologia e Gdr - Intervista al prof. Bennato sull'approccio sociologico dei giochi di ruolo
Alabarda e Lancia - Alabarda e Lancia: Le armi da asta che hanno fatto la storia!
Pandora Upside Down High School ↗
