Почему бы не заменить session_id, например, логином?

@krasnodar95 · Регистрация: 06.08.2014

Студворк — интернет-сервис помощи студентам

Когда мы создаем сессию, на сервере генерируется случайный session_id который мы отправляем в куке. Почему бы нам не сделать представление пользователя серверу просто по логину? Ведь передача по не зашифрованному каналу и для session_id и для логина одинаково не безопасна. Объясните пожалуйста подробно.

@Tatikoma · 06.08.2014, 17:45

krasnodar95, это еще один уровень безопасности.

По-умолчанию сессия не привязывается ни к IP-адресу, не к User-Agent. Соответственно если поменяем случайный идентификатор на логин пользователя, то злоумышленник зная логин пользователя - просто подставит его у себя в качестве идентификатора сессии и получит доступ.

Тут вопрос не так надо ставить. А зачем вам менять идентификатор сессии?

@krasnodar95 · 06.08.2014, 17:53 **[ТС]**

Я понимаю что сессия не привязывается к ip. Ну так ведь злоумышленник одинаково легко может получить как логин так и session_id, просто прослушивая трафик. Меня это интересует с точки зрения теории, насколько безопаснее session_id по сравнению с логином к примеру.

quwy · 06.08.2014, 17:55

krasnodar95, а еще на одном сервере могут быть разные сервисы с повторяющимися логинами.

Добавлено через 1 минуту

Сообщение от krasnodar95

Меня это интересует с точки зрения теории, насколько безопаснее session_id по сравнению с логином к примеру

Логин, в отличии от SID даже подслушивать не надо, написал https://www.cyberforum.ru/user... rasnodar95 и уже залогинен под юзером (если его сессия в этот момент существовала).

@krasnodar95 · 06.08.2014, 17:55 **[ТС]**

Вот это уже аргумент.

@krasnodar95 · 07.08.2014, 22:11 **[ТС]**

То есть я так понял, мне вообще не составит сложности, прослушивая трафик, и перехватив session_id просто представиться тому же контакту как другой человек, если это не шифрованный канал?

quwy · 08.08.2014, 12:40

Сообщение от krasnodar95

То есть я так понял, мне вообще не составит сложности, прослушивая трафик, и перехватив session_id просто представиться тому же контакту как другой человек, если это не шифрованный канал?

Да, и именно поэтому всякие клиент-банки (а чем дальше, тем все больше и простые сайты) работают по HTTPS.
Причем, даже трафик не обязательно перехватывать, если на сайте есть XSS-уязвимость, то по этому принципу можно украсть логин даже у новозеландца.

@ProstoMad · 28.08.2014, 06:24

Что лучше тогда в сессию записывать для проверки авторизации

quwy · 28.08.2014, 13:17

Сообщение от ProstoMad

Что лучше тогда в сессию записывать для проверки авторизации

То, что сейчас и принято. SID должен быть в виде длинной потенциально не угадываемой случайной последовательности, а что там в сессионном массиве на сервере -- не так важно, главное чтобы без явных уязвимостей.

@SV · 28.08.2014, 14:55

Сообщение от krasnodar95

просто прослушивая трафик.

начнем с того что для начала нужно "быть рядом", что бы этот трафик прослушивать. А так - вы сразу знаете id сессии любого юзера

Сообщение от krasnodar95

То есть я так понял, мне вообще не составит сложности, прослушивая трафик, и перехватив session_id просто представиться тому же контакту как другой человек, если это не шифрованный канал?

Если нет других проверок - то да. Но обычно они есть, минимум ip адрес

quwy · 28.08.2014, 15:31

Сообщение от SV

Если нет других проверок - то да. Но обычно они есть, минимум ip адрес

По своему опыту могу сказать, что проверка IP практически нигде не производится. Переподключение к интернету со сменой адреса, не ведет к сбросу сессии даже на этом форуме.

@SV · 28.08.2014, 15:36

Сообщение от quwy

По своему опыту могу сказать, что проверка IP практически нигде не производится

в ВК проводится, но там более хитрый механизм через логин на другом домене

@Camaro396 · 01.09.2014, 10:38

Да, с IP надо быть осторожнее, особенно если с телефонов заходят.

Новые блоги и статьи Все статьи Все блоги /
Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а привычная функция main(). . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .
http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь(не выше 3-го порядка) постоянного тока с элементами R, L, C, k(ключ), U, E, J. Программа находит переходные токи и напряжения на элементах схемы классическим методом(1 и 2 з-ны. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/

@krasnodar95 0 / 0 / 0 Регистрация: 06.08.2014 Сообщений: 4

	Почему бы не заменить session_id, например, логином? 06.08.2014, 17:18. Показов 1236. Ответов 12 Метки нет (Все метки) Когда мы создаем сессию, на сервере генерируется случайный session_id который мы отправляем в куке. Почему бы нам не сделать представление пользователя серверу просто по логину? Ведь передача по не зашифрованному каналу и для session_id и для логина одинаково не безопасна. Объясните пожалуйста подробно. 0

@Tatikoma F́́́́́́́ŕ́́́́́́́é́́́ ́ak 260 / 224 / 109 Регистрация: 07.07.2014 Сообщений: 965
	06.08.2014, 17:45
	krasnodar95, это еще один уровень безопасности. По-умолчанию сессия не привязывается ни к IP-адресу, не к User-Agent. Соответственно если поменяем случайный идентификатор на логин пользователя, то злоумышленник зная логин пользователя - просто подставит его у себя в качестве идентификатора сессии и получит доступ. Тут вопрос не так надо ставить. А зачем вам менять идентификатор сессии? 1

@krasnodar95 0 / 0 / 0 Регистрация: 06.08.2014 Сообщений: 4
	06.08.2014, 17:53 [ТС]
	Я понимаю что сессия не привязывается к ip. Ну так ведь злоумышленник одинаково легко может получить как логин так и session_id, просто прослушивая трафик. Меня это интересует с точки зрения теории, насколько безопаснее session_id по сравнению с логином к примеру. 0

@krasnodar95 0 / 0 / 0 Регистрация: 06.08.2014 Сообщений: 4
	06.08.2014, 17:55 [ТС]
	Вот это уже аргумент. 0

@krasnodar95 0 / 0 / 0 Регистрация: 06.08.2014 Сообщений: 4
	07.08.2014, 22:11 [ТС]
	То есть я так понял, мне вообще не составит сложности, прослушивая трафик, и перехватив session_id просто представиться тому же контакту как другой человек, если это не шифрованный канал? 0

@ProstoMad 50 / 40 / 5 Регистрация: 30.06.2010 Сообщений: 1,191
	28.08.2014, 06:24
	Что лучше тогда в сессию записывать для проверки авторизации 0

@Camaro396 38 / 38 / 13 Регистрация: 22.07.2013 Сообщений: 197
	01.09.2014, 10:38
	Да, с IP надо быть осторожнее, особенно если с телефонов заходят. 0

Почему бы не заменить session_id, например, логином?

Решение