| |
|
|
| | Цель: обеспечить безопасность сессии так же в пределах операционной системы одного пользователя.
Как это выглядит: Пользователь открывает браузер, заходит на страницу, авторизуется на ней, получает SID сессии, далее. На этом же компе пользователь открывает новую страницу того же браузера и используя SID сессии пытается получить доступ в качестве уже авторизованного пользователя.
Сложность: Как различить, что доступ по SID пытаются получить из другого окна браузера?
Зачем нужно: Чтобы исключить вариант взлома, когда пользователь залогинился на сайте, а потом с того же компа под другой учётной записью была использована его SID.
Ну и так же для того, чтобы страница могла быть одновременно открыта только с одного компьютера и только одним человеком.
Вариант с UserAgent и IP не подходит, потому что в пределах одного компа они будут совпадать. | |
| |
|
|
| |
|
|
| |
для: Futurer
(11.08.2007 в 14:39)
| | | Если чел с другим с одного компа на Ваш сайт лезут тут не сессии, тут просто нужно галку "Запомнить вас?" при авторизации, или как в SMF запомнить на 5, 10, 15, 30, 60, 360 минут и т.д. =) | |
| |
|
|
| |
|
|
| |
для: Proger
(11.08.2007 в 15:40)
| | | Вы говорите о времени сессии? Если я правильно понял.
Это поставленную задачу не решает.
И что подразумевается под галочкой запомнить вас? Какой механизм. | |
| |
|
|
| |
|
|
| |
для: Futurer
(11.08.2007 в 15:52)
| | | Может быть существует какой-то уникальный идентификатор браузера создающийся каждый раз при его запуске? | |
| |
|
|
| |
|
|
| |
для: Futurer
(11.08.2007 в 15:55)
| | | НЕТ НЕТ И НЕТ! Хватит пороть чушь! Я вам сказал решение! Галка "Запомнить меня" и всё! Если стоит то куки с инфой пишем, если не стоит то нет и после закрытия вкладки в браузере или браузера человека как и не было на сайте вовсе ! В остальных случаях это уже безолаберность пользователя! | |
| |
|
|
| |
|
|
| |
для: Proger
(11.08.2007 в 16:12)
| | | )) | |
| |
|
|
| |
|
|
| |
для: Proger
(11.08.2007 в 16:12)
| | | Нестоит рассматривать предположения как чушь. Ваша галка - не паноцея. =) | |
| |
|
|
| |
|
|
| |
для: Futurer
(11.08.2007 в 15:55)
| | | Если бы были такие идентификаторы - обычные сессионные кукис оказались бы не нужны.
Ставьте сеансовый кукис. Если он исчез - значит окошко захлопнули - значит сессия скомпрометирована. | |
| |
|
|
| |
|
|
| |
для: Trianon
(11.08.2007 в 17:05)
| | | Короче резюме такое: от перехвата id сессии и несанкционированного использвоания её в период активности сессии никто не застрахован.
А куки не у всех включены, поэтому такой вариант не пойдёт. Хотя про сеансовый кукис для тех, у кого они включены стоит подумать. Хотя бы повысить безопасность большинства пользователей.
Спасибо всем, кто ответил. | |
| |
|
|
| |
|
|
| |
для: Futurer
(11.08.2007 в 17:18)
| | | >А куки не у всех включены, поэтому такой вариант не пойдёт.
У тех, у кого куки не включены, сессий с сокрытием идентификатора всё равно не выйдет. Если Вы хотите именно этого, Вам все равно предстоит таких клиентов отвергать. | |
| |
|
|
| |
|
|
| |
для: Futurer
(11.08.2007 в 14:39)
| | | Это конечно хорошо что вы так заботитесь о своих клиентах, но поему напрасно. в данном случае при НСД ответственность будет лежать на пользователе, а не на администраторе сайта.представьте себе, что кроме того способа получить НСД о котором вы писали может быть еще к примеру такой:
пользователя подкараулят около подъезда побьют ногой (рукой, дубинкой, фомкой, вилкой, кактусом) по правой (левой, задней) почке и узнают пароль, а в итоге НСД. как с этим бороться собираетесь? охрану к ниму приставете?
2 Proger тут даже галочкой не поможешь | |
| |
|
|
| |
|
|
| |
для: parczynski
(12.08.2007 в 02:52)
| | | Ну да.... но всё таки галка помогает, от клубов и компов где куча народу сидит по очереди.... | |
| |
|
|
