|
|
|
|
|
для: sanitar
(13.08.2008 в 21:50)
| | Сессия подходит, например, для ввода капчи в скрипте регистрации.
Уже с некоторой натяжкой, но всё же она может пригодиться для ввода короткого поста на форуме. | |
|
|
|
|
|
|
|
для: Eugene77
(13.08.2008 в 19:49)
| | как раз закрытие окна можно перехватить яваскриптом,так что этот вариант тоже можно предусмотреть.
>Пользоваться сессией, вообще, на мой взгляд, стоит в исключительных ситуациях, где >именно она подходит.
а где на ваш взгляд она подходит? | |
|
|
|
|
|
|
|
для: sim5
(12.08.2008 в 17:00)
| | >"Пряники" могут достаться вообще без всяких усилий. Не обязательно, что каждый пользователь за компьютером работает под парольным доступом в нем. И не обязательно такая работа есть "обязательство" служащих на предприятиях, и не обязательно только один служащий может работать за таким компьютером. Но то, что масса таких служащих во время работы "гуляет" в интернете, регистрируется, делает покупки и прочее, это точно. Особенно такая беспечность у женщин, так что записав свои "пряники" такому пользователю, ими же может полакомиться и другой :)
Вот, как мне кажется, очень верно вы заметили!
Есть ещё "сжиматели траффика" которые открывают мою станицу в одном из своих фреймов, страницы платёжных систем, открываемые в дочернем окне...
Опираться на секретность куки не кажется разумным.
Пользоваться сессией, вообще, на мой взгляд, стоит в исключительных ситуациях, где именно она подходит. У меня была проблема с настройкой файервола - я отключался от Интернета после загрузки каждой страницы... Каждый раз пароль вводить?
Более-менее, на мой взгляд, вы решите продлему безопасной аутентификации, если при каждом запросе страницы будете класть новую шифрованную куку и её же расшифрованную в базу для сравнения прежде чем послать новую.
При этом, если происходит запрос от логина с неправильной кукой, то динамическая кука в базе должна обнуляться и тогда, даже если перехват произошёл, хакеру не удастся довести дело до конца. У него будет запрошен пароль. Исключение составляет случай когда перехват куки происходит после загрузки пользователем последней страницы или при слишком медленном темпе загрузки страниц. Но в первом случае - сам виноват - надо жать на кнопку "выход". Во втором случае, надо предусматривать яву, периодически запрашивающую новые куки с сервера. | |
|
|
|
|
|
|
|
для: amigo62
(12.08.2008 в 23:52)
| | помните! Чак Норрис настолько суров, что обойдет любую авторизацию | |
|
|
|
|
|
|
|
для: sl1p
(12.08.2008 в 23:00)
| | Куки, автологин (сессии можно считать их разновидностью) :) оба способа уязвимы. Есть еще SSL, но ставить такие системы например на форум как минимум нерентабельно | |
|
|
|
|
|
|
|
для: Николай2357
(12.08.2008 в 22:21)
| | >а к админке длительный вход вроде нонсенс...
Почему нонсенс, увеличьте время действия сессии.
Скажем
ini_set("session.gc_maxlifetime", 3600);
|
Увеличит время действия сессии на час.
P.S. Второй параметр - секунды. | |
|
|
|
|
|
|
|
для: amigo62
(12.08.2008 в 22:23)
| | ну должен же всё таки быть какойто нормальный способ для длительного авторизаО_о | |
|
|
|
|
|
|
|
для: sl1p
(12.08.2008 в 21:56)
| | Она кстати не "одноразовая" :) На сеанс работы ее хватит, а дольше - возникает опасность ее несанкционированного использования (паранойя?:-D). Есть один бесплатный хостинг, где сессия жила дольше суток. Сайты на нем щелкали как орехи (меня в то время тоже на него угораздило). | |
|
|
|
|
|
|
|
для: sl1p
(12.08.2008 в 21:56)
| | Наверное никак.
< Хотя, конечно тут все зависит от задачи, ну к примеру при реализации CMS?
Вопрос вроде так стоял, а к админке длительный вход вроде нонсенс...
ЗЫ Не туда попало, выше постом... | |
|
|
|
|
|
|
|
для: sl1p
(12.08.2008 в 21:56)
| | Горячая тема:) не могу не поделиться фишкой, которую применяю.
Как известно, опасность применения сессий в том, что злоумышленник может похитить SESSID (брутфорс, реферрер, троян и т.д.). Большинство таких взломов - это не следствие "кривизны" кода, а халатность или "чайничество" пользователя. Но можно сделать так, что кража SESSID не будет иметь смысла: просто при каждом запросе считывать данные из текущей сессии, уничтожать ее, создавать сессию с новым SESSID (желательно заданным с помощью uniqid();) и помещать эти данные в нее. Тут уже практически у любого пользователя воровать SESSID не имеет смысла - в 99% сессия окажется истекшей. | |
|
|
|
|