ФорумПрограммированиеPHP для идиотов → как еще можно удостоверится в уникальности сессии юзера?

как еще можно удостоверится в уникальности сессии юзера?

  • Rotten

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 10:18

    Ок, я могу привязать к сессии айпи юзера, и когда второй юзер под тем же именем входит в систему, то якобы сравнивая по айпи система решает что лох тот, кто заходит с другого/левого айпи…

    Но я чтото так и не врубаюсь - айпи ж динамические бывают. Где гарантия?
    Как я еще могу идентефицировать юзера? По $_SERVER['HTTP_USER_AGENT']? да, это бред, но в голову ничего больше не лезит… Ибо куки и сессии то вообще суто привязка к отдельному пользователю…

    Как вы решаете подобную проблему?
  • phpdude

    Сообщения: 26618 Репутация: N Группа: в ухо

    Spritz 8 сентября 2010 г. 11:00, спустя 42 минуты 46 секунд

    Как вы решаете подобную проблему?

    пользователю куку, значение куки в бд ему и сравнивать при заходе на сайт, если что - разлогинивать "старого", то есть того, кто раньше авторизовался {+++12+++} вместе с кукой можно ип хранить - по вкусу :)
    Сапожник без сапог
  • Slavytich

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 11:24, спустя 24 минуты 3 секунды

    Привет. Если привязка ip к сессии не работает (динамика) - можно и привязку юзерагент-данных, и это не бред, но также имеет минус - меняться. Есть конечно еще способ.. Но он туп и костыли. Показывать не буду.

    phpdude
    предположим что куки у клиена off, действия?
  • mario

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 8 сентября 2010 г. 11:32, спустя 7 минут 56 секунд

    предположим что куки у клиена off, действия?

    забить на него хуй! :D
  • phpdude

    Сообщения: 26618 Репутация: N Группа: в ухо

    Spritz 8 сентября 2010 г. 11:37, спустя 4 минуты 25 секунд

    phpdude
    предположим что куки у клиена off, действия?

    в пизду такого клиента. {+++20+++} такой клиент у меня даже антифлуд фильтр не пройдет на сервере, его забанит тупо. ибо нахуй дибилов
    Сапожник без сапог
  • Rotten

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 11:42, спустя 5 минут 5 секунд

    если клиент - заходит под тем же юзеракаунтом, значит 90% - он кулхацкер. А если он кулхацкер, то он прежде всего отключит куки(потомучто это легче), а только уж потом позаботиться чтобы его айпи перерисовался на новый…

    Автоугонщик ведь не хочет чтобы его быстро сняли. Вот потому и меняет номера авто… {+++194+++} тоесть, гипотетически относительно сказаного - можно не пускать людей, которые вырубывают куки , на сайт сразу…
    Но это зажирные условия. Есть же среди простых смертных также индивидуумы которые не знают о куках вообще.
  • Slavytich

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 11:45, спустя 3 минуты 26 секунд

    marioб phpdude
    Конечно, когда он, допустим, хотел купить у вас товара на $$$.

    Нет, Я конечно знаю идеальное решение, просто думал его уже напишут.
    Есть же среди простых смертных также индивидуумы которые не знают о куках вообще.

    Верно, для пользователя всё должно быть прозрачно.
  • phpdude

    Сообщения: 26618 Репутация: N Группа: в ухо

    Spritz 8 сентября 2010 г. 12:05, спустя 20 минут 7 секунд

    Я конечно знаю идеальное решение, просто думал его уже напишут.

    удиви :D
    Сапожник без сапог
  • mario

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 8 сентября 2010 г. 12:35, спустя 30 минут 7 секунд

    Конечно, когда он, допустим, хотел купить у вас товара на $$$.

    таких не бывают ;)
    или у тебя реально специфичный товар и спицифичные клиенты, например, что маловероятно, средства ширования и прочая хуета, такие люди не то что куки вырубают, они не где данные свои не светят, так что забей)
  • Slavytich

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 13:03, спустя 27 минут 7 секунд

    phpdude
    Не вопрос. Удивлять, думаю, нечем. Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое,  и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали). Это четвертая стадия всего механизма, первых 2 Я уже писал выше, а третяя переодическая смена сессии, то есть session_regenerate_id(). Итак имеем - если 1-е не работает идем ко 2-й, если и оно не true (что обычно мало вероятно) пробуем сессию из 3-й стадии, и если не проходит включаем 4-ю, которая вам возможно могла показатся дибилизмом(изза нагрузки или еще что-то, но там все ок), и в result-е имеем что нужно, крэкер идет дальше.
    ТС-у очевидно требуется противоядие от session hijack-аттак. Кому нужно, код php думаю в миг накатают. Вроде всё.

    mario
    Для меня это дело принципа. А клиенты разные бывают, обычно все ок, но и не без ситуаций. Как пример - мобильный шоппинг на старых девайсах; или еще лучше - CLI.
  • phpdude

    Сообщения: 26618 Репутация: N Группа: в ухо

    Spritz 8 сентября 2010 г. 13:09, спустя 5 минут 58 секунд

    Не вопрос. Удивлять, думаю, нечем. Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое, и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали). Это четвертая стадия всего механизма, первых 2 Я уже писал выше, а третяя переодическая смена сессии, то есть session_regenerate_id(). Итак имеем - если 1-е не работает идем ко 2-й, если и оно не true (что обычно мало вероятно) пробуем сессию из 3-й стадии, и если не проходит включаем 4-ю, которая вам возможно могла показатся дибилизмом(изза нагрузки или еще что-то, но там все ок), и в result-е имеем что нужно, крэкер идет дальше.
    ТС-у очевидно требуется противоядие от session hijack-аттак. Кому нужно, код php думаю в миг накатают. Вроде всё.

    удиви :D

    phpdude
    предположим что куки у клиена off, действия?

    противоречишь милый. с куками любой дурак правильно идентифицирует пользователя. {+++17+++}
    Таким образоом у нас есть возможность проверять прошлое

    ага и смотреть в будущее :D
    Сапожник без сапог
  • Slavytich

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 13:21, спустя 12 минут 19 секунд

    противоречишь милый.

    Никак нет. Где вы это увидели? Суть моего поста что я НЕ использую куки.
    с куками любой дурак правильно идентифицирует пользователя.

    Ваша позиция мне ясна. {+++187+++}
    ага и смотреть в будущее

    И это научимся, если школота захватит инет. Но этого надеюсь не случится.
  • phpdude

    Сообщения: 26618 Репутация: N Группа: в ухо

    Spritz 8 сентября 2010 г. 13:27, спустя 6 минут 23 секунды

    Slavytich, аа, олдскул у нас на пыхе?))

    Ваша позиция мне ясна.

    и что то за позиция, если не секрет? :)
    Сапожник без сапог
  • Slavytich

    Сообщения: ? Репутация: N Группа: Адекваты

    Spritz 8 сентября 2010 г. 13:55, спустя 27 минут 42 секунды

    и что то за позиция, если не секрет?

    В данном случае Вы полагаетесь на куки. Я же сторонник этого. Не в моих правилах это, отсылать важную инфу которая хранится в plain text. Это учитывая то, что я не беру во внимание свой механизм защиты от любых укусов. Но там уже другой разговор, что уже вне данной темы.

    аа, олдскул у нас на пыхе?))

    Я пальцем не показывал. Просто вообщем выразился, сам админ. Фраза улыбнула.
  • mario

    Сообщения: ? Репутация: N Группа: Джедаи

    Spritz 8 сентября 2010 г. 14:10, спустя 14 минут 40 секунд

    Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое, и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали).

    не совместим с:
    мобильный шоппинг на старых девайсах; или еще лучше - CLI.

    т.к. мобильный шопинг ограничивает действия, точнее делает их полностью одинаковыми.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!