 sesje, cookies czy przez url? |
| sesje, cookies czy przez url? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%) 
 |
ostatnio duzo myslalem o sesjach i tak sie zastanawialem, ktory sposob przekazywania zmiennych jest lepszy: przez cookies czy przez przekazywanie id sesji w adresie (url). jak wiadomo w tej pierwszej metodzie problem pojawia się gdy ktoś ma wyłączoną obsługę cookies, w tej drugiej gdy ktoś da adres strony (a w nim tez id) znajomemu. standardowe polaczenie tych dwoch metod nie likwiduje problemu drugiego. osobiscie mysle, ze stanowi to dosyc duza dziure w sytsemie i zastanawialem sie czy po prostu nie wymuszac na uzytkownikach wlaczania cookies (z jasnym wytlumaczeniem w jakim celu). co o tym sadzicie?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 53 Pomógł: 0 Dołączył: 16.11.2004 Ostrzeżenie: (0%)
|
Niedogodnosc moze byc duza, bo niektorzy userzy maja IP, ktore sie zmienia co jedno zadanie HTTP (jesli sa za farma serwerow proxy, to nic nie poradza). Wiec trzymanie IP z sesja bedzie bez sensu - taki ktos po prostu opusci serwis, gdy co chwile bedzie musial sie logowac. Poza tym to nie jest zadna ochrona - jesli juz ktos jest w stanie podsluchac session_id to pewnie przejmie tez i haslo, wiec dostanie nowe, poprawne session_id.
Proponowalbym uzyc SSL - generalnie SSL zwieksza bezpieczenstwo, choc nie gwarantuje (man-in-the-middle attack jest niestety nadal mozliwy, ale jak sie ktos wepnie pozniej, to id sesji juz nie uzyska). Przechowywanie id sesji w ciastku czasem nie dziala, bo niektore przegladarki maja bledy. Np. konqueror ma jedna globalna pule ciastek - nawet tych jednorazowych, wiec gdy otworzysz 2 okienka, to beda obslugiwane w tej samej sesji. Nie wspomne juz, ze uzytkownik moze wylaczyc ciastka. Moim zdaniem jedynym bezpiecznym i uniwersalnym mechanizmem obslugi sesji sa ukryte pola formularza + przepisywanie adresow + SSL. Id sesji nalezy oczywiscie uniewazniac po jakims czasie lub w momencie, gdy uzytownik sie wyloguje - to dosyc mocno chroni przred wykorzystaniem sesji przez "kolege". Jesli chodzi o bezpieczenstwo sesji po stronie serwera - tu bym generalnie odradzal php, ale zaraz mnie za to zlinczujecie.... Ten post edytował Krolik 7.12.2004, 11:45:26 |
|
|
|
sopel sesje, cookies czy przez url? 24.06.2004, 10:24:43 
hwao Możesz zrobic wlasne 'zabezpieczenia' wyst... 24.06.2004, 11:57:51 sopel sprawdzanie przeglądarki może być pewnym rozwiązan... 24.06.2004, 17:46:42 kicaj Najlepsze rozwiazanie podal hwao - link do artykuł... 24.06.2004, 18:06:52 sopel artykul znam dobrze, ale nie on jest przedmiotem t... 24.06.2004, 18:23:38 mateusch Cytat(sopel @ 2004-06-24 17:46:42)co do kontr... 21.10.2004, 20:06:29 sopel Cytat(mateusch @ 2004-10-21 20:06:29)tzw ... 21.10.2004, 22:15:49 hawk Cytat(mateusch @ 2004-10-21 20:06:29)tzw ... 22.10.2004, 08:15:30 sopel Cytat(hawk @ 2004-10-22 08:15:30)IP jest zmie... 22.10.2004, 09:46:40 MoD A jak nie wywalisz prośby o ponowne zalogowanie i ... 30.10.2004, 15:24:33 sopel Cytat(MoD @ 2004-10-30 15:24:33)A jak nie wyw... 21.11.2004, 13:36:11 poligon Cytat(sopel @ 2004-11-21 12:36:11)Cytat(MoD ... 21.11.2004, 14:13:27 sopel Cytat(poligon @ 2004-11-21 14:13:27)Cytat(sop... 21.11.2004, 14:49:46 MoD Cytat(sopel @ 2004-11-21 15:49:46)Cytat(polig... 21.11.2004, 15:55:37 sopel ale czy jak ktos spedza na stronie np. godzine (w ... 21.11.2004, 16:15:47 hawk Co do proxy, to podobno jest jakiś nagłówek X_FORW... 7.12.2004, 16:38:40 bela_666 @hawk taki nagłówek istnieje i mi pokazuje moje we... 7.12.2004, 18:35:13 
Krolik CytatCo do man-in-the-middle dla SSL, przypomina m... 9.12.2004, 12:17:16  |
|
Aktualny czas: 5.10.2025 - 01:11 |
