[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Кража сессии
Гость666
Всем привет! Как известно сессии можно скоммуниздить. Подскажите как правильно предотвратить несанкцион. доступ через краденной сессии?



Спустя 26 минут, 30 секунд (13.01.2010 - 15:47) VolCh написал(а):
Хранить в сессии "отпечатки" пользователя - ip, user-agent и т. п. и каждый раз сравнивать. 100% гарантии не дает, но секурней чем верить одной только куке/сиду в урле

Спустя 6 минут, 1 секунда (13.01.2010 - 15:53) Gabriel написал(а):
VolCh
этож как быть с юзерами у которых динамический ип? а если я браузер сменить захочю?

Спустя 15 минут, 57 секунд (13.01.2010 - 16:09) VolCh написал(а):
Gabriel
Если браузер сменишь, то по любому сессия не сохранится, или ты куки переносишь из браузера в браузер? wink.gif

Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют) - по-моему небольшая плата перелогиниваться при дисконнекте/смене IP за повышенную секурность.

Спустя 34 минуты, 44 секунды (13.01.2010 - 16:43) Joker написал(а):
Цитата (VolCh @ 13.01.2010 - 18:09)
Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют)


Пошутил?) некоторые это мягко сказано я живу в перми дак все это делают жил в москве пользовался услугами 3х провайдеров дак тоже динамо, поэтому динамичный IP это больше смахивает на большинство чем на некоторые.


Спустя 29 секунд (13.01.2010 - 16:44) krasilich написал(а):
Кстати, по поводу динамических ip.
Эта самая динамика лежит в одной подсети в большинстве случаев.
Тоесть можно проверять не весь ip а только подсеть 195.10.69. например.

Но если твой сайт занимается не сверхсекретным документооборотом или финансовыми операциями, такие предосторожности - излишни.

Увести сессию, это тебе не раз плюнуть, и очень немногим захочется этим заниматься, только что бы нагадить у кого-то в профиле.

а вообще мне очень нравиться один класс, который реализует свой механизм сессий, и позволяет не хранить никаких данных о сессии на стороне клиента.

Спустя 1 минута, 31 секунда (13.01.2010 - 16:45) jetistyum написал(а):
ну.у... тогда вообще какбэ куки не нужны )
т.к. от них пользы будет мало ... никаких тебе "запомнить пароль"
ИБО все укртелекомовские (например) ДСЛ-ки.. раз в день минимум дисконнектятся и меняют IP ...
Поэтому это до сих пор не обошли и продолжают ломать сотнитыщь аккаунтов на вконтактах и одноглаззниках.

Спустя 55 секунд (13.01.2010 - 16:46) jetistyum написал(а):
Цитата (see_man @ 13.01.2010 - 16:44)
а вообще мне очень нравиться один класс, который реализует свой механизм сессий, и позволяет не хранить никаких данных о сессии на стороне клиента.

А как же идентифицируется клиент???

Спустя 31 секунда (13.01.2010 - 16:47) Joker написал(а):
Цитата (see_man @ 13.01.2010 - 18:44)
и позволяет не хранить никаких данных о сессии на стороне клиента.


Как же он тогда распознает что это тот же пользователь?

Спустя 16 минут, 19 секунд (13.01.2010 - 17:03) krasilich написал(а):
Joker
Все то же, но все session_name, session_id храняться в бд

Кстати речь о классе Session моего любимого фреймворка CodeIgniter

Спустя 4 минуты, 50 секунд (13.01.2010 - 17:08) jetistyum написал(а):
Ок, сессия хранится на сервере, (как и обычно) а как на счет привязки клиент - сессия ???
чет вообще не пойму... что за новый велосипед???
как ты (твое приложение ) определяешь что моя сессия это моя, а твоя - твоя...

Спустя 8 минут, 58 секунд (13.01.2010 - 17:17) Joker написал(а):
Цитата (see_man @ 13.01.2010 - 19:03)
Все то же, но все session_name, session_id храняться в бд


причом здесь где храниться, правильно jetistyum сказал как класс определит что сессия с ИД 1 принадлежит мне а с ИД 2 тебе ?


Спустя 5 секунд (13.01.2010 - 17:17) krasilich написал(а):
А, извиняюсь, моя оплошность.
Действительно session_id храниться в кукисах.

Спустя 2 минуты, 59 секунд (13.01.2010 - 17:20) krasilich написал(а):
Спасибо что помогли добраться до мануала=)

Цитата
Если данные сессии находятся в базе данных, то каждый раз, когда в cookies пользователя обнаруживается рабочая сессия, осуществляется запрос к базе данных - с целью сравнить ID сессий. Если ID сессии не совпадают, то сессия разрушается.

Спустя 2 минуты, 14 секунд (13.01.2010 - 17:22) Joker написал(а):
Цитата (see_man @ 13.01.2010 - 19:17)
А, извиняюсь, моя оплошность.
Действительно session_id храниться в кукисах.


Что вводишь людей в заблуждение.

А если по теме, я например всегда сессию привязываю к ip.

Спустя 6 минут, 30 секунд (13.01.2010 - 17:29) VolCh написал(а):
Цитата (Joker @ 13.01.2010 - 16:43)
Пошутил?) некоторые это мягко сказано я живу в перми дак все это делают жил в москве пользовался услугами 3х провайдеров дак тоже динамо, поэтому динамичный IP это больше смахивает на большинство чем на некоторые.

Серьезно. За последние лет 10 не считая модемов и всяких беспроводных я ни разу не сидел за компом у которого динамический IP (из тех IP которых интересовался), причем в большинстве случаев вбит жестко, а не по DHCP. Это что, на ADSL широкая практика? Я просто с ним вживую ни разу не сталкивался, или Ethernet, или DOCSIS, а это или плати 3-5$ за статический внешний IP или сиди с бесплатным статическим внутренними за NATом со статическим внешним.

Спустя 1 минута, 5 секунд (13.01.2010 - 17:30) VolCh написал(а):
Цитата (Joker @ 13.01.2010 - 17:22)
А если по теме, я например всегда сессию привязываю к ip.

А как же пользователи за NAT'ом, проксями и т. п. ?

Спустя 7 минут, 29 секунд (13.01.2010 - 17:37) Gabriel написал(а):
Цитата
Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют)

у моего провайдера статический ип ты купиш только с семетрической линией и с шкафом от фирмы Cisco и стоит это не малых денег. другие провайдеры тоже парят и стоит это тоже прилично и дома такое держать смысла не имеет.

Спустя 1 час, 21 минута, 49 секунд (13.01.2010 - 18:59) vagrand написал(а):
ИМХО автор неверно подходит к проблеме, нужно не валидировать сессию привязывая ее к IP и прим вещам, а не давать возможности эту сессию слямзить.
А вот про то как этого избежать написано много очень полезных статей.
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.