Dados em Sessão

Bom dia,

hoje publicando copias de um sistema no host (varios clientes utilizarão o mesmo sistema em base de dados e diretórios distintos porem no mesmo host) notei que havia uma falha de segurança no esquema de conexão.

Pelo que notei a conexão com o banco é armazenada em sessão possibilitando acesso de sistemas distintos utilizando a mesma senha de acesso.

Ja tive esse problema em sistemas feitos em php puro e foi corrigido com a utilização do session_name ou session_register.

Seria interessante implementar no sc para que não ocorra falhas como essa.

Grato

Bom dia,

O Sr. deseja que o mo’dulo de segurança tenha uma opção para que um u’nico login não possa entrar no sistema em dois locais distintos ao mesmo tempo?

Att,
Bernhard Bernsmann

Olá obrigado por responder.

Não é exatamente isso. O que ocorre é que se eu faço login em um sistema que está hospedado juntamente com outro sistema (mesmo em bases diferentes) e logo após isso (sem fexar o navegador) abro outro sistema, os dados da conexão do sistema anterior pemanecem possibilitando que um usuario do primeiro se logue no segundo mesmo sem ter tal permissão.

Ou até pior, algumas vezes achando que estamos manipulando os dados de um deles na verdade estamos alterando informações em outro.

É um erro comum e muita gente nems e dá conta, como falei anteriormente eu notei essas falhas quando ainda utilizava o netbeans para desenvolver. Foi resolvido apenas colocando nomes de sessão diferentes a cada sistema.

Boa noite,

Qual versão do SC o Sr. está utilizando?

Att,
Bernhard Bernsmann

mantenho a versão do SC sempre atualizada conforme o possivel. Hoje estamos utilizando a 6.00.0024

abrir apps do sc em produção em guias diferentes do navegador vai dar pane mesmo , o sc usa muito dados em sessão, e mesmo sendo sistemas diferentes para o navegador a sessão do php será a mesma.

Você pode abrir uma janela anônima no Chrome para conseguir fazer isso.

Boa tarde,

O Sr. pode ativar a opção de trafegar o ID da sessão em Opções --> Configurações dentro do ambiente de desenvolvimento.

Depois de feito isso, recompile as aplicações e publique-as novamente. Sugiro também que o Sr. realize alguns testes, para assegurar que os sistemas não estão “se confundindo”.

Att,
Bernhard Bernsmann

Na mesma janela, mesmo em guias diferentes a sessão do php se mantem a mesma, sendo assim, não vai funcionar passar o id da sessão php na url.

Isso já foi muito discutido aqui no forum, eu acabei com meus problemas trabalhando com subdomínios. Para cada cliente crio um subdomínio dentro do principal.

Ex:

tratorase.sinistroweb.com.br
castelmar.sinistroweb.com.br
epignosis.sinistroweb.com.br
demo.sinistroweb.com.br

Depois que separei dessa forma, meus problemas acabaram, qualquer painel de controle tem essa opção, eu utilizo Webmin + Cloudmin + Virtualmin, mas sei que Cpanel configura isso na boa, Plesk, DirectAdmin, etc…etc…etc.

Eu tive um problema que acho que tem a haver com sessão.
No meu caso, percebi que a tabela de aplicações (seg_apps) de um sistema, tinha de uma hora pra outra, absorvido registros de outro sistema. Pense num sistema de venda de jóias que de repente aparecem cadastros de um sistema de administradora de seguros, com aplicações para cadastrar veículos, frotas, marcas e modelos de carros… uma complicação.
Só me restou uma cara de tacho na frente do cliente e uma desculpa qualquer pra corrigir aquela situação.

Acho que o que ocasionou isso foi eu ter usado a mesma sessão de navegador pra um sistema e em seguida usar outro. Mesmo não tendo aberto os dois ao mesmo tempo. Como eu estava programando um após o outro, com certeza mandei sincronizar apps no segundo sistema, e as apps do primeiro (registros em sessão) vieram junto.