т.е абсолютно во всех местах авторизованного пространства делаю проверку sid + login и если найдено совпадение то обновляю время. Если с другого обозревателя зайти в это время на сайт и авторизоваться, sid обновиться, а предыдущий юзер вылетит. Кстати сессий 15 минутной давности удаляются у всех юзеров. На сайте не использую cookie вообще.
Вопрос вот в чем. А нужно ли делать защиту от угона сессий вообще или это достаточно надежный и так механизм на 99,9% от злобных хацкеров?
Спустя 12 минут, 13 секунд (29.03.2012 - 19:45) alex12060 написал(а):
| Цитата |
| хорошую систему защиты от кражи сессий. |
Веришь, нет, но до тебя это уже сделали давненько. Реализовано это так - сессия хранится на сервере в временной папке и недоступна извне. Поэтому, ее по определению своровать не получится
Странная вещь твоя система - выкидывать прошлого пользователя, если зашел новый О_о
Вот тут хакерам вообще манна небесная. Прошлого пользователя выкинуло, он пошипел на твой сайт и забыл, а тот напускал пакостей другим людям. Идеальное преступление.
Да и вообще, сессиями пользоваться надо лишь в случаях, когда данные должны храниться не долго, а ты тут хранишь пользовательские данные. Это лучше переложить на плечи пользователя.
И вообще, ты параноик
Спустя 5 минут, 29 секунд (29.03.2012 - 19:50) maximka787 написал(а):
alex12060
Красиво)
На счет параноика, я вообще против этого хранения и лишних проверок сессий, собственно поэтому и пишу сюда. Честно я не знаю как это своровать сессию, хоть и работаю давно кодером.
Мне как-то сказали, причем много людей сразу, что нужно делать проверку (sid+login) всегда, иначе два пользователя под одним логином смогут быть в сети вместе, а это реально крах всего.
Красиво)
На счет параноика, я вообще против этого хранения и лишних проверок сессий, собственно поэтому и пишу сюда. Честно я не знаю как это своровать сессию, хоть и работаю давно кодером.
Мне как-то сказали, причем много людей сразу, что нужно делать проверку (sid+login) всегда, иначе два пользователя под одним логином смогут быть в сети вместе, а это реально крах всего.
| Цитата |
| Да и вообще, сессиями пользоваться надо лишь в случаях, когда данные должны храниться не долго, а ты тут хранишь пользовательские данные. Это лучше переложить на плечи пользователя. |
а тут точно не согласен, у меня логин который хранится в S_SESSION это идентификатор для других таблиц. и в местах авторизации на него опирается почти все.
Спустя 9 минут, 15 секунд (29.03.2012 - 19:59) alex12060 написал(а):
maximka787
| Цитата |
| у меня логин который хранится в S_SESSION это идентификатор для других таблиц |
Я это понимаю. А что мешает хранить логин в куках и просто брать его оттуда через $_SESSION ?
Просто смотри, как неудобно. Зашел на сайт, посидел, и внезапно закрыл окно. Я пароль не помню!! Ой думаю, пофигу, я же не вышел.
А тут бац, сессия ушла к ктулху и перед пользователем форма, которая требует напрячь мозг и вспомнить пароль.
А если бы была кука, можно было бы не напрягать пользователя и не произошло бы это деяние.
А если снова говорить о том, что тут куки воруют, там куки воруют, везде куки воруют и так далее, то это лишь по вине пользователя. Ну а если мы заботимся о пользователях, то можно сделать помудренней и тебе уже раскинуть мозгом.
Я из такой ситуации выкрутился, раньше сам писал на сессиях, и многие жаловались, что выкидывает, пришлось придумывать.
Так вот, если придумаешь, как создать "безопасные" куки, цены тебе не будет.
Спустя 5 минут, 24 секунды (29.03.2012 - 20:05) maximka787 написал(а):
alex12060
Да мне по сути не так важно, где именно будет храниться идентификатор id пользователя (в куках или сессиях) Но тогда, придется проверять постоянно куки в базе, мне это не сложно реализовать. А идея хорошая на счет нового хранения идентификатора. Я чтот и не думал, что так лучше) Но авторизовываться все же на сайте я обяжу пользователей при 15 минутной бездеятельности) Я такое сам постоянно вижу
Да мне по сути не так важно, где именно будет храниться идентификатор id пользователя (в куках или сессиях) Но тогда, придется проверять постоянно куки в базе, мне это не сложно реализовать. А идея хорошая на счет нового хранения идентификатора. Я чтот и не думал, что так лучше) Но авторизовываться все же на сайте я обяжу пользователей при 15 минутной бездеятельности) Я такое сам постоянно вижу
Спустя 2 часа, 56 минут, 15 секунд (29.03.2012 - 23:01) I++ написал(а):
Как обычно пострадают пользователи от излишней паранойи... SSL поставь тогда уж, надежнее будет.
Спустя 21 час, 14 минут, 49 секунд (30.03.2012 - 20:16) maximka787 написал(а):
I++
т.е. лучше вообще убрать удаление неактивных сеансов, не пойму? В этом случае будет много сеансов активных.
По моему ни один нормальный сайт не должен позволять под одним логином гулять по сайту с двух компов.
т.е. лучше вообще убрать удаление неактивных сеансов, не пойму? В этом случае будет много сеансов активных.
По моему ни один нормальный сайт не должен позволять под одним логином гулять по сайту с двух компов.
| Цитата |
| от излишней паранойи |
к тому же, моя постоянная проверка заодно обновляет активность пользователей, чтобы видеть тех кто онлайн.
_____________
..Работает - не трогай!