Форум PHP

Сессия подходит, например, для ввода капчи в скрипте регистрации.
Уже с некоторой натяжкой, но всё же она может пригодиться для ввода короткого поста на форуме.

как раз закрытие окна можно перехватить яваскриптом,так что этот вариант тоже можно предусмотреть.

>Пользоваться сессией, вообще, на мой взгляд, стоит в исключительных ситуациях, где >именно она подходит.

а где на ваш взгляд она подходит?

>"Пряники" могут достаться вообще без всяких усилий. Не обязательно, что каждый пользователь за компьютером работает под парольным доступом в нем. И не обязательно такая работа есть "обязательство" служащих на предприятиях, и не обязательно только один служащий может работать за таким компьютером. Но то, что масса таких служащих во время работы "гуляет" в интернете, регистрируется, делает покупки и прочее, это точно. Особенно такая беспечность у женщин, так что записав свои "пряники" такому пользователю, ими же может полакомиться и другой :)

Вот, как мне кажется, очень верно вы заметили!
Есть ещё "сжиматели траффика" которые открывают мою станицу в одном из своих фреймов, страницы платёжных систем, открываемые в дочернем окне...

Опираться на секретность куки не кажется разумным.

Пользоваться сессией, вообще, на мой взгляд, стоит в исключительных ситуациях, где именно она подходит. У меня была проблема с настройкой файервола - я отключался от Интернета после загрузки каждой страницы... Каждый раз пароль вводить?

Более-менее, на мой взгляд, вы решите продлему безопасной аутентификации, если при каждом запросе страницы будете класть новую шифрованную куку и её же расшифрованную в базу для сравнения прежде чем послать новую.
При этом, если происходит запрос от логина с неправильной кукой, то динамическая кука в базе должна обнуляться и тогда, даже если перехват произошёл, хакеру не удастся довести дело до конца. У него будет запрошен пароль. Исключение составляет случай когда перехват куки происходит после загрузки пользователем последней страницы или при слишком медленном темпе загрузки страниц. Но в первом случае - сам виноват - надо жать на кнопку "выход". Во втором случае, надо предусматривать яву, периодически запрашивающую новые куки с сервера.

помните! Чак Норрис настолько суров, что обойдет любую авторизацию

Куки, автологин (сессии можно считать их разновидностью) :) оба способа уязвимы. Есть еще SSL, но ставить такие системы например на форум как минимум нерентабельно

>а к админке длительный вход вроде нонсенс...
Почему нонсенс, увеличьте время действия сессии.
Скажем

ini_set("session.gc_maxlifetime", 3600);

Увеличит время действия сессии на час.

P.S. Второй параметр - секунды.

ну должен же всё таки быть какойто нормальный способ для длительного авторизаО_о

Она кстати не "одноразовая" :) На сеанс работы ее хватит, а дольше - возникает опасность ее несанкционированного использования (паранойя?:-D). Есть один бесплатный хостинг, где сессия жила дольше суток. Сайты на нем щелкали как орехи (меня в то время тоже на него угораздило).

Наверное никак.
< Хотя, конечно тут все зависит от задачи, ну к примеру при реализации CMS?
Вопрос вроде так стоял, а к админке длительный вход вроде нонсенс...
ЗЫ Не туда попало, выше постом...

Горячая тема:) не могу не поделиться фишкой, которую применяю.
Как известно, опасность применения сессий в том, что злоумышленник может похитить SESSID (брутфорс, реферрер, троян и т.д.). Большинство таких взломов - это не следствие "кривизны" кода, а халатность или "чайничество" пользователя. Но можно сделать так, что кража SESSID не будет иметь смысла: просто при каждом запросе считывать данные из текущей сессии, уничтожать ее, создавать сессию с новым SESSID (желательно заданным с помощью uniqid();) и помещать эти данные в нее. Тут уже практически у любого пользователя воровать SESSID не имеет смысла - в 99% сессия окажется истекшей.