hash di sessione, hai bisogno di aiuto per sapere come funziona?

0

c'è un sito web che visito e non riesco a comprendere appieno il processo di accesso e l'hash della sessione che crea e utilizza per tenere traccia degli accessi e simili.

qualcuno potrebbe aiutarmi a capire cosa succede nel server e cosa succede agli ID di sessione e alle informazioni di accesso? (salvato in un file cookie)

Inserisco il mio nome utente e passo, un cookie viene salvato sul mio PC chiamato PHPSESSID. contiene un hash di 32 caratteri (MD5?) dice che scade quando termina la sessione. se esci e accedi di nuovo (anche usando lo stesso nome utente) questo hash cambia. inutile menzionare, l'accesso con altri nomi utente rende anche questo cambiamento di hash.

  1. se questo hash viene creato dal mio nome utente e passa, perché cambia?
  2. è l'oggetto di sali relativi alla mia domanda?
  3. se i sali vengono utilizzati per generare questo hash e se i sali sono casuali, in che modo il lato server confronta gli hash nel loro DB, all'hash creato dal mio user / pass + salt random ?

sembra che le mie domande siano abbastanza distanti nella categoria. mi dispiace per questo.

questo sito web di cui sto parlando ha una cronologia di accessi misti (sebbene rari). come quando effettuo il login usando il mio nome utente / passaggio accidentalmente vado a un'altra sessione di utenti.

dov'è la debolezza della sicurezza di questa procedura? (che probabilmente è la ragione dei suddetti accessi a sessione mista)

Grazie per l'aiuto.

    
posta forbes.nash 02.01.2017 - 12:46
fonte

1 risposta

1

Una sessione è un dato memorizzato sul server corrispondente ad alcuni client. Per sapere quali dati accedere, il client ottiene un cookie con un identificatore di sessione. Il valore di questo identificatore non è significativo, è solo un token per ottenere i dati corretti. Ad esempio, se l'identificatore di sessione è abcd1234, il server cercherà in /var/sessions/abcd1234.txt per i dati di sessione.

L'identificativo di sessione che hai citato è probabilmente generato casualmente e non derivato da username, password o salt.

    
risposta data 02.01.2017 - 14:28
fonte

Leggi altre domande sui tag