![]() |
Модераторы: skyboy, MoLeX, Aliance, ksnk |
![]() ![]() ![]() |
|
EntityFx |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 27 Регистрация: 30.3.2009 Репутация: нет Всего: нет |
Как защититься от замены значения PHPSESSID при котором доступ к сессии может нарушиться.
Провёл один тест: создал сессии в двух браузерах. Заменил PHPSESSID из 1 браузера во втором. Теперь я имею доступ к одной сессии в обоих браузерах. Вдруг случайно (?) при замене смогут получить доступ к другой сессии Был 1 вариант защиты: создать в куках значение SECRET=md5(session_id()."string"); При каждом запуске сессии сранивать значение SECRET и md5(session_id()."string"). Если поменяют значение PHPSESSID или SECRET, то должно выкидывать. Пожалуйста, предложите более оптимальный вариант. ![]() Это сообщение отредактировал(а) EntityFx - 2.10.2010, 11:25 |
|||
|
||||
ksnk |
|
|||
![]() прохожий ![]() ![]() ![]() ![]() Профиль Группа: Комодератор Сообщений: 6855 Регистрация: 13.4.2007 Где: СПб Репутация: 96 Всего: 386 |
EntityFx, в сессию можно записать информацию, передаваемую браузером - ip адрес, агент броузера, сопутствующий мусор про прокси. при получении Id сессии читать из нее все это и грязно ругаться в некоторых случаях.
Надо только представлять себе, что у добропорядочных пользователей: - ip может поменяться в одной и той-же сесии, например, юзер пользуется мобильным устройством и быстро едет. Единственная радость - это не может случатся уж очень часто. - прокси-мусор может поменяться непредсказуемым образом в зависимости от неопределенных причин А недобропорядочные юзеры могут все это подделать. Включая куки. Если информация настолько важна, что стоит возится с защитой - используй https. -------------------- Человеку свойственно ошибаться, программисту свойственно ошибаться профессионально ! ![]() |
|||
|
||||
EntityFx |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 27 Регистрация: 30.3.2009 Репутация: нет Всего: нет |
Да, IP как-то не катит. Если используют прокси, либо у нескольких клиентов один внешний IP.
|
|||
|
||||
EntityFx |
|
|||
![]() Новичок Профиль Группа: Участник Сообщений: 27 Регистрация: 30.3.2009 Репутация: нет Всего: нет |
А если как вариант сделать JavaScipt, который по таймеру смотрит куки и восстанавливает первоначальное состояние?
Не, это сильно жёстко. ![]() Это сообщение отредактировал(а) EntityFx - 2.10.2010, 13:48 |
|||
|
||||
![]() ![]() ![]() |
Правила форума "PHP" | |
|
Новичкам:
Важно:
Внимание:
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers. |
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | PHP: Общие вопросы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |