Спустя 26 минут, 30 секунд (13.01.2010 - 15:47) VolCh написал(а):
Хранить в сессии "отпечатки" пользователя - ip, user-agent и т. п. и каждый раз сравнивать. 100% гарантии не дает, но секурней чем верить одной только куке/сиду в урле
Спустя 6 минут, 1 секунда (13.01.2010 - 15:53) Gabriel написал(а):
VolCh
этож как быть с юзерами у которых динамический ип? а если я браузер сменить захочю?
этож как быть с юзерами у которых динамический ип? а если я браузер сменить захочю?
Спустя 15 минут, 57 секунд (13.01.2010 - 16:09) VolCh написал(а):
Gabriel
Если браузер сменишь, то по любому сессия не сохранится, или ты куки переносишь из браузера в браузер?
Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют) - по-моему небольшая плата перелогиниваться при дисконнекте/смене IP за повышенную секурность.
Если браузер сменишь, то по любому сессия не сохранится, или ты куки переносишь из браузера в браузер?
Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют) - по-моему небольшая плата перелогиниваться при дисконнекте/смене IP за повышенную секурность.
Спустя 34 минуты, 44 секунды (13.01.2010 - 16:43) Joker написал(а):
| Цитата (VolCh @ 13.01.2010 - 18:09) |
| Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют) |
Пошутил?) некоторые это мягко сказано я живу в перми дак все это делают жил в москве пользовался услугами 3х провайдеров дак тоже динамо, поэтому динамичный IP это больше смахивает на большинство чем на некоторые.
Спустя 29 секунд (13.01.2010 - 16:44) krasilich написал(а):
Кстати, по поводу динамических ip.
Эта самая динамика лежит в одной подсети в большинстве случаев.
Тоесть можно проверять не весь ip а только подсеть 195.10.69. например.
Но если твой сайт занимается не сверхсекретным документооборотом или финансовыми операциями, такие предосторожности - излишни.
Увести сессию, это тебе не раз плюнуть, и очень немногим захочется этим заниматься, только что бы нагадить у кого-то в профиле.
а вообще мне очень нравиться один класс, который реализует свой механизм сессий, и позволяет не хранить никаких данных о сессии на стороне клиента.
Эта самая динамика лежит в одной подсети в большинстве случаев.
Тоесть можно проверять не весь ip а только подсеть 195.10.69. например.
Но если твой сайт занимается не сверхсекретным документооборотом или финансовыми операциями, такие предосторожности - излишни.
Увести сессию, это тебе не раз плюнуть, и очень немногим захочется этим заниматься, только что бы нагадить у кого-то в профиле.
а вообще мне очень нравиться один класс, который реализует свой механизм сессий, и позволяет не хранить никаких данных о сессии на стороне клиента.
Спустя 1 минута, 31 секунда (13.01.2010 - 16:45) jetistyum написал(а):
ну.у... тогда вообще какбэ куки не нужны )
т.к. от них пользы будет мало ... никаких тебе "запомнить пароль"
ИБО все укртелекомовские (например) ДСЛ-ки.. раз в день минимум дисконнектятся и меняют IP ...
Поэтому это до сих пор не обошли и продолжают ломать сотнитыщь аккаунтов на вконтактах и одноглаззниках.
т.к. от них пользы будет мало ... никаких тебе "запомнить пароль"
ИБО все укртелекомовские (например) ДСЛ-ки.. раз в день минимум дисконнектятся и меняют IP ...
Поэтому это до сих пор не обошли и продолжают ломать сотнитыщь аккаунтов на вконтактах и одноглаззниках.
Спустя 55 секунд (13.01.2010 - 16:46) jetistyum написал(а):
| Цитата (see_man @ 13.01.2010 - 16:44) |
| а вообще мне очень нравиться один класс, который реализует свой механизм сессий, и позволяет не хранить никаких данных о сессии на стороне клиента. |
А как же идентифицируется клиент???
Спустя 31 секунда (13.01.2010 - 16:47) Joker написал(а):
| Цитата (see_man @ 13.01.2010 - 18:44) |
| и позволяет не хранить никаких данных о сессии на стороне клиента. |
Как же он тогда распознает что это тот же пользователь?
Спустя 16 минут, 19 секунд (13.01.2010 - 17:03) krasilich написал(а):
Joker
Все то же, но все session_name, session_id храняться в бд
Кстати речь о классе Session моего любимого фреймворка CodeIgniter
Все то же, но все session_name, session_id храняться в бд
Кстати речь о классе Session моего любимого фреймворка CodeIgniter
Спустя 4 минуты, 50 секунд (13.01.2010 - 17:08) jetistyum написал(а):
Ок, сессия хранится на сервере, (как и обычно) а как на счет привязки клиент - сессия ???
чет вообще не пойму... что за новый велосипед???
как ты (твое приложение ) определяешь что моя сессия это моя, а твоя - твоя...
чет вообще не пойму... что за новый велосипед???
как ты (твое приложение ) определяешь что моя сессия это моя, а твоя - твоя...
Спустя 8 минут, 58 секунд (13.01.2010 - 17:17) Joker написал(а):
| Цитата (see_man @ 13.01.2010 - 19:03) |
| Все то же, но все session_name, session_id храняться в бд |
причом здесь где храниться, правильно jetistyum сказал как класс определит что сессия с ИД 1 принадлежит мне а с ИД 2 тебе ?
Спустя 5 секунд (13.01.2010 - 17:17) krasilich написал(а):
А, извиняюсь, моя оплошность.
Действительно session_id храниться в кукисах.
Действительно session_id храниться в кукисах.
Спустя 2 минуты, 59 секунд (13.01.2010 - 17:20) krasilich написал(а):
Спасибо что помогли добраться до мануала=)
| Цитата |
| Если данные сессии находятся в базе данных, то каждый раз, когда в cookies пользователя обнаруживается рабочая сессия, осуществляется запрос к базе данных - с целью сравнить ID сессий. Если ID сессии не совпадают, то сессия разрушается. |
Спустя 2 минуты, 14 секунд (13.01.2010 - 17:22) Joker написал(а):
| Цитата (see_man @ 13.01.2010 - 19:17) |
| А, извиняюсь, моя оплошность. Действительно session_id храниться в кукисах. |
Что вводишь людей в заблуждение.
А если по теме, я например всегда сессию привязываю к ip.
Спустя 6 минут, 30 секунд (13.01.2010 - 17:29) VolCh написал(а):
| Цитата (Joker @ 13.01.2010 - 16:43) |
| Пошутил?) некоторые это мягко сказано я живу в перми дак все это делают жил в москве пользовался услугами 3х провайдеров дак тоже динамо, поэтому динамичный IP это больше смахивает на большинство чем на некоторые. |
Серьезно. За последние лет 10 не считая модемов и всяких беспроводных я ни разу не сидел за компом у которого динамический IP (из тех IP которых интересовался), причем в большинстве случаев вбит жестко, а не по DHCP. Это что, на ADSL широкая практика? Я просто с ним вживую ни разу не сталкивался, или Ethernet, или DOCSIS, а это или плати 3-5$ за статический внешний IP или сиди с бесплатным статическим внутренними за NATом со статическим внешним.
Спустя 1 минута, 5 секунд (13.01.2010 - 17:30) VolCh написал(а):
| Цитата (Joker @ 13.01.2010 - 17:22) |
| А если по теме, я например всегда сессию привязываю к ip. |
А как же пользователи за NAT'ом, проксями и т. п. ?
Спустя 7 минут, 29 секунд (13.01.2010 - 17:37) Gabriel написал(а):
| Цитата |
| Насчёт динамического IP (честно говоря с 90-х годов не встречал такого, но знаю, что некоторые провайдеры практикуют) |
у моего провайдера статический ип ты купиш только с семетрической линией и с шкафом от фирмы Cisco и стоит это не малых денег. другие провайдеры тоже парят и стоит это тоже прилично и дома такое держать смысла не имеет.
Спустя 1 час, 21 минута, 49 секунд (13.01.2010 - 18:59) vagrand написал(а):
ИМХО автор неверно подходит к проблеме, нужно не валидировать сессию привязывая ее к IP и прим вещам, а не давать возможности эту сессию слямзить.
А вот про то как этого избежать написано много очень полезных статей.
А вот про то как этого избежать написано много очень полезных статей.