[PHP]Session Fixation Opcje

[--MarekK--]

Witam.
Mam problem ze zrozumieniem problemu wiec postaram się go przedstawić. Mam aplikację a w niej sekcję odpowiedzalną za bezpieczeństwo dokladnie za kontrole Sesji. W ramach obrony przed Session Fixation stosuje prosty skrypt

[PHP] pobierz, plaintext 
if (!isset($_SESSION['inicjuj']))
        {
                session_regenerate_id();
                $_SESSION['inicjuj'] = true;
       }
[PHP] pobierz, plaintext 

I teraz wcielam się w "tego złego" i próbuję namieszać. Tworzę stronę która generuje mi ciasteczko do tej witryny z losowym SSID daje link do strony dla "ofiary" (ja nią jestem) następnie "ofiara" loguję się do aplikacji i....?
Moje zaskoczenie session_regenerate_id(); działa jak należy tworzony jest nowy SSID ale... po każdym odświeżeniu strony użytkownik musi znowu się logować gdyż w jego plikach coockie's jest złośliwe ciasteczko z przygotowanym SSID i np będzie ono istnieć tydzień. Przez tydzień nieszczęsliwy użytkownik ma problemy z korzystania z mojego serwisu bo...? co odświeży stronę to musi się znowu logować (jego sesja zostaje zniszczona przez session_regenerate_id();.

Pytanie do Was co można zrobić żeby uniknąć takiej sytuacji ?

[nospor]

Strona B nie jest wstanie stworzyć ciasteczka dla strony A. To po pierwsze.

Jeśli nawet ktoś trafi z właściwym ID sesji ofiary, to Twój kod nie wygeneruje nowego sessionID, gdyż ten ktoś będzie już w sesji $_SESSION['inicjuj'] swojej ofiary, wiec twoj warunek na regeneracji się nie sprawdzi.

I poraz kolejny ci pisze: Twoj kod w zaden sposób nie zabezpiecza przed session fixation.