Форум → Программирование → PHP для идиотов → как еще можно удостоверится в уникальности сессии юзера?
как еще можно удостоверится в уникальности сессии юзера?
Страницы: ← Следующая страница →
-
Ок, я могу привязать к сессии айпи юзера, и когда второй юзер под тем же именем входит в систему, то якобы сравнивая по айпи система решает что лох тот, кто заходит с другого/левого айпи…
Но я чтото так и не врубаюсь - айпи ж динамические бывают. Где гарантия?
Как я еще могу идентефицировать юзера? По $_SERVER['HTTP_USER_AGENT']? да, это бред, но в голову ничего больше не лезит… Ибо куки и сессии то вообще суто привязка к отдельному пользователю…
Как вы решаете подобную проблему? -
Сен. 8, 2010, 7 п.п., спустя 42 минуты 46 секунд
Как вы решаете подобную проблему?
пользователю куку, значение куки в бд ему и сравнивать при заходе на сайт, если что - разлогинивать "старого", то есть того, кто раньше авторизовалсяСпустя 12 сек.вместе с кукой можно ип хранить - по вкусу :)Сапожник без сапог -
Сен. 8, 2010, 7:24 п.п., спустя 24 минуты 3 секунды
Привет. Если привязка ip к сессии не работает (динамика) - можно и привязку юзерагент-данных, и это не бред, но также имеет минус - меняться. Есть конечно еще способ.. Но он туп и костыли. Показывать не буду.
phpdude
предположим что куки у клиена off, действия? -
Сен. 8, 2010, 7:32 п.п., спустя 7 минут 56 секунд
предположим что куки у клиена off, действия?
забить на него хуй! :D -
Сен. 8, 2010, 7:37 п.п., спустя 4 минуты 25 секунд
phpdude
предположим что куки у клиена off, действия?
в пизду такого клиента.Спустя 20 сек.такой клиент у меня даже антифлуд фильтр не пройдет на сервере, его забанит тупо. ибо нахуй дибиловСапожник без сапог -
Сен. 8, 2010, 7:42 п.п., спустя 5 минут 5 секунд
если клиент - заходит под тем же юзеракаунтом, значит 90% - он кулхацкер. А если он кулхацкер, то он прежде всего отключит куки(потомучто это легче), а только уж потом позаботиться чтобы его айпи перерисовался на новый…
Автоугонщик ведь не хочет чтобы его быстро сняли. Вот потому и меняет номера авто…Спустя 194 сек.тоесть, гипотетически относительно сказаного - можно не пускать людей, которые вырубывают куки , на сайт сразу…
Но это зажирные условия. Есть же среди простых смертных также индивидуумы которые не знают о куках вообще. -
Сен. 8, 2010, 7:45 п.п., спустя 3 минуты 26 секунд
marioб phpdude
Конечно, когда он, допустим, хотел купить у вас товара на $$$.
Нет, Я конечно знаю идеальное решение, просто думал его уже напишут.Есть же среди простых смертных также индивидуумы которые не знают о куках вообще.
Верно, для пользователя всё должно быть прозрачно. -
Сен. 8, 2010, 8:05 п.п., спустя 20 минут 7 секунд
Я конечно знаю идеальное решение, просто думал его уже напишут.
удиви :DСапожник без сапог -
Сен. 8, 2010, 8:35 п.п., спустя 30 минут 7 секунд
Конечно, когда он, допустим, хотел купить у вас товара на $$$.
таких не бывают ;)
или у тебя реально специфичный товар и спицифичные клиенты, например, что маловероятно, средства ширования и прочая хуета, такие люди не то что куки вырубают, они не где данные свои не светят, так что забей) -
Сен. 8, 2010, 9:03 п.п., спустя 27 минут 7 секунд
phpdude
Не вопрос. Удивлять, думаю, нечем. Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое, и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали). Это четвертая стадия всего механизма, первых 2 Я уже писал выше, а третяя переодическая смена сессии, то есть session_regenerate_id(). Итак имеем - если 1-е не работает идем ко 2-й, если и оно не true (что обычно мало вероятно) пробуем сессию из 3-й стадии, и если не проходит включаем 4-ю, которая вам возможно могла показатся дибилизмом(изза нагрузки или еще что-то, но там все ок), и в result-е имеем что нужно, крэкер идет дальше.
ТС-у очевидно требуется противоядие от session hijack-аттак. Кому нужно, код php думаю в миг накатают. Вроде всё.
mario
Для меня это дело принципа. А клиенты разные бывают, обычно все ок, но и не без ситуаций. Как пример - мобильный шоппинг на старых девайсах; или еще лучше - CLI. -
Сен. 8, 2010, 9:09 п.п., спустя 5 минут 58 секунд
Не вопрос. Удивлять, думаю, нечем. Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое, и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали). Это четвертая стадия всего механизма, первых 2 Я уже писал выше, а третяя переодическая смена сессии, то есть session_regenerate_id(). Итак имеем - если 1-е не работает идем ко 2-й, если и оно не true (что обычно мало вероятно) пробуем сессию из 3-й стадии, и если не проходит включаем 4-ю, которая вам возможно могла показатся дибилизмом(изза нагрузки или еще что-то, но там все ок), и в result-е имеем что нужно, крэкер идет дальше.
ТС-у очевидно требуется противоядие от session hijack-аттак. Кому нужно, код php думаю в миг накатают. Вроде всё.удиви :D
phpdude
предположим что куки у клиена off, действия?
противоречишь милый. с куками любой дурак правильно идентифицирует пользователя.Спустя 17 сек.Таким образоом у нас есть возможность проверять прошлое
ага и смотреть в будущее :DСапожник без сапог -
Сен. 8, 2010, 9:21 п.п., спустя 12 минут 19 секунд
противоречишь милый.
Никак нет. Где вы это увидели? Суть моего поста что я НЕ использую куки.с куками любой дурак правильно идентифицирует пользователя.
Ваша позиция мне ясна.Спустя 187 сек.ага и смотреть в будущее
И это научимся, если школота захватит инет. Но этого надеюсь не случится. -
Сен. 8, 2010, 9:27 п.п., спустя 6 минут 23 секунды
Slavytich, аа, олдскул у нас на пыхе?))Ваша позиция мне ясна.
и что то за позиция, если не секрет? :)Сапожник без сапог -
Сен. 8, 2010, 9:55 п.п., спустя 27 минут 42 секунды
и что то за позиция, если не секрет?
В данном случае Вы полагаетесь на куки. Я же сторонник этого. Не в моих правилах это, отсылать важную инфу которая хранится в plain text. Это учитывая то, что я не беру во внимание свой механизм защиты от любых укусов. Но там уже другой разговор, что уже вне данной темы.аа, олдскул у нас на пыхе?))
Я пальцем не показывал. Просто вообщем выразился, сам админ. Фраза улыбнула. -
Сен. 8, 2010, 10:10 п.п., спустя 14 минут 40 секунд
Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое, и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали).
не совместим с:мобильный шоппинг на старых девайсах; или еще лучше - CLI.
т.к. мобильный шопинг ограничивает действия, точнее делает их полностью одинаковыми.
Страницы: ← Следующая страница →
Пожалуйста, авторизуйтесь, чтобы написать комментарий!