A wystarczyłoby przecież porównywać IP zapisane w sesji z IP użytkownika i w wypadku, gdy są różne - wygenerować nowy klucz sesji i zażądać logowania.

"Proszę pamiętać, że jesteśmy obecnie jedynym serwisem społecznościowym, w którym logowanie może odbywać się za pośrednictwem szyfrowanego połączenia SSL." , " Obecnie żaden z serwisów społecznościowych czy to portali horyzontalnych nie daje nawet takiego zabezpieczenia jak NK. " - to jest dobre na reklamy TV dla ciemniaków :D

"G DATA Software sugeruje nie logowanie się na profil użytkownika do czasu usunięcia problemu " -- czyli nigdy ?

Czy tylko N-K ma taki problem? Trwa zmasowana akcja niszczenia N-K w mediach - "polskie piekiełko" działa sprawnie. Chłopcom się udało, więc trzeba ich sprowadzić do parteru, a w tle są pieniądze.

Zgadzam się z ~senior:

Owszem dobrze by było gdyby można było się jakoś przed tym zabezpieczyć ale problem przejmowania sesji jest powszechny. Sam przejmowałem sesje na innych bardzo popularnych serwisach. Normalna rzecz. To nic nowego.

regeneracja sesji?! No to już chyba jest przesada..
"session_regenerate_id() will replace the current session id with a new one, and keep the current session information"
Może mi wytłumaczysz co to zmieni?

Zajęliśmy się tą sprawą, ponieważ dostaliśmy zgłoszenie od Czytelnika. Nie bierzemy udziału w "zmasowanej akcji niszczenia N-K". Gdyby problem dotyczył innego serwisu, też byśmy go opisali. Informacje o znalezionych lukach można przesyłać bezpośrednio na mój adres (dostępny w profilu).

Jak wygląda bezpieczeństwo w di.com?

Czy ja u góry widzę totalnie niebezpieczne logowanie po http z możliwością przejęcia hasła, ciasteczka i wszystkiego co tylko możliwe?

Pozdrawiam,
Tomek

Śmieszne. Przeprowadziliśmy ATAK. Buhahaha ;)
Wykradaniecie ciastek z jakiegos komputera zawsze da nam możliwość przejęcia kontroli nad zalogowanymi kontami w nk, fotka, mail, grono itp. Wszedzie tam gdzie podtrzymujemy sesje.

@Anna - ale czytelnik bredził coś o groźnej luce której nie ma. Gdyby to była kradzież sesji na zasadzie "wysyłam spreparowany link i znam ciacho" - byłaby to rzeczywiście luka(*). Tu mamy PROSTĄ KONSEKWENCJĘ używania nieszyfrowanego połączenia (i do tego się należy przyczepić - jeżeli serwis ma być "bezpieczny" w sensie tego artykułu, to zostaje albo szyfrowanie całości/części(html,bez grafiki, ale tu przeglądarka krzyczy) albo jakieś chore tokeny generowane przez javascript/java/flash (na podstawie sid'a pobranego przez ssl) dla każdej akcji (co uniemożliwi używanie wielu kart, i ogólnie w porównaniu do szyfrowania jest kiepskim pomysłem))

Proponuję zapytać "eksperta" o rozwiązanie problemu w sytuacji gdy kradzież sesji oparta jest o podsłuchanie danych:
1. na LAN z hub'em można zawsze nawiązać połączenie i serwer po drugiej stronie nawet się nie zorientuje, że to 2 różne stacje.
2. na LAN ze switchem gdy jest możliwe podsłuchanie ciastka(np. ARP spoofing) sytuacja jest jak wyżej.
3. Przy dostępie do routera możemy zrobić właściwie wszystko - od zupełnie niezauważalnego "man in the middle" przez tą samą technikę jak wyżej (po ew. przestawieniu TTL będzie nadal niezauważalna, zresztą nikt po TTL nie kontroluje)
4. Gdy nie mamy dostępu do trasy połączenia, a "jedynie" trojana na komputerze ofiary możemy łączyć się przez niego - tu nawet szyfrowane połączenie nie pomoże.
5. Mamy LAN (z możliwością arp spoofingu) w którym każda stacja ma wyjście na świat przez swoje ip - tu filtrowanie po nim mialoby sens. Rozwiązanie to uniemożliwiłoby dostęp wszystkim, który mają LAN z kilkoma przyłączeniami i load balancing. Natomiast nie widzę problemu dla neostrad - ich ip zmienia sie co 24h (co ekspert miał na myśli?).

Uwaga końcowa: "ciąg identyfikujący przeglądarkę" user-agentem zwany NIE ZABEZPIECZA ponad to co daje ciastko - podsłuchuje się je oba w TYM SAMYM nagłówku.

(*) Jeżeli prawdą jest to o czym wspomina ekspert to w serwisie istnieje luka tego typu, ale nie o tym jest artykuł.

Nie, no ludzie... żeby się włamać trzeba skopiować komuś "ciacho" - weźcie szukajce prawdziwych dziur - i piszecie o naszej klasie - pewnie 90% portali ma taką dziurę :>

nie rozumiem po co komu potrzebne sa jakies "horyzontalne porty" czy tam portale :) jesli ktos sie na to daje nabrac jest sam sobie winien bo za tym nigdy nie stoi powazna instytucja tylko cwaniaki w poscigu za kasa. proste? proste.

rzeczywiście w ten sposób nie dostaniemy się do hasła... nie możemy też zmienić adresu email, ale za to możemy zmienić ustawienia prywatnosci kompletnie otwierajac profil. Jestem pewien, że mało kto szybko się zorientuje że jego własny profil jest całkiem otwarty. Możemy tez dodawać/usuwać komuś znajomych!!
inne portale typu LinkedIn co prawda zapisują tez ciasteczka i do normalnego ogladania nie wymagają logowania, ale jakiekolwiek zmiany wymagają już zalogowania się... coś jak dwuetapowa sesja...

ja ci powiem ze 95-98%... a reszte da sie albo na sql albo na javascript...

Najśmieszniejsze jest dla mnie to, że np. wp.pl ma taki sam błąd u siebie w sslowej poczcie, ale nic o tym nie piszą :>

Nic nie kumam;) a jak edytowac to konto?? ot tak po prostu wejsc na strone i kliknac po ostatniej sesji edytuj konto? chodzi mi o dostanie sie bez koniecznosci przejmowania ciasteczka - zakladamy, ze juz je mam. wiem, ze dla Was to pytanie to pewna oczywistosc ale ja niczego tu nie rozumiem;)