[PHP]Session Fixation Opcje

[--MarekK--]

Witam.
Mam problem ze zrozumieniem problemu wiec postaram się go przedstawić. Mam aplikację a w niej sekcję odpowiedzalną za bezpieczeństwo dokladnie za kontrole Sesji. W ramach obrony przed Session Fixation stosuje prosty skrypt

[PHP] pobierz, plaintext 
if (!isset($_SESSION['inicjuj']))
        {
                session_regenerate_id();
                $_SESSION['inicjuj'] = true;
       }
[PHP] pobierz, plaintext 

I teraz wcielam się w "tego złego" i próbuję namieszać. Tworzę stronę która generuje mi ciasteczko do tej witryny z losowym SSID daje link do strony dla "ofiary" (ja nią jestem) następnie "ofiara" loguję się do aplikacji i....?
Moje zaskoczenie session_regenerate_id(); działa jak należy tworzony jest nowy SSID ale... po każdym odświeżeniu strony użytkownik musi znowu się logować gdyż w jego plikach coockie's jest złośliwe ciasteczko z przygotowanym SSID i np będzie ono istnieć tydzień. Przez tydzień nieszczęsliwy użytkownik ma problemy z korzystania z mojego serwisu bo...? co odświeży stronę to musi się znowu logować (jego sesja zostaje zniszczona przez session_regenerate_id();.

Pytanie do Was co można zrobić żeby uniknąć takiej sytuacji ?

[--MarekK--]

A propo Session Fixation
[PHP]if (!isset($_SESSION['SERVER_GENERATED_SID'])) {
session_destroy(); // destroy all data in session
}
session_regenerate_id(); // generate a new session identifier
$_SESSION['SERVER_GENERATED_SID'] = true;[/[PHP]

Źródło wikipedia session fixation.

Czy to jest juz poprawne?


Poza tym mam jeszcze pytanie. Parametr cookiedomain nie służy do tego aby ciasteczko zostało utworzone pod konkretny adres ? - Ucze się więc dla tego mam dużo pytań.