 sesje, cookies czy przez url? |
| sesje, cookies czy przez url? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 853 Pomógł: 25 Dołączył: 27.08.2003 Skąd: Katowice Ostrzeżenie: (0%) 
 |
ostatnio duzo myslalem o sesjach i tak sie zastanawialem, ktory sposob przekazywania zmiennych jest lepszy: przez cookies czy przez przekazywanie id sesji w adresie (url). jak wiadomo w tej pierwszej metodzie problem pojawia się gdy ktoś ma wyłączoną obsługę cookies, w tej drugiej gdy ktoś da adres strony (a w nim tez id) znajomemu. standardowe polaczenie tych dwoch metod nie likwiduje problemu drugiego. osobiscie mysle, ze stanowi to dosyc duza dziure w sytsemie i zastanawialem sie czy po prostu nie wymuszac na uzytkownikach wlaczania cookies (z jasnym wytlumaczeniem w jakim celu). co o tym sadzicie?
|
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 521 Pomógł: 0 Dołączył: 3.11.2003 Skąd: 3city Ostrzeżenie: (0%)
|
Co do proxy, to podobno jest jakiś nagłówek X_FORWARDED_FOR cy cuś innego. Nigdy nie sprawdzałem i nie oznacza to że musi zawsze być.
Co do man-in-the-middle dla SSL, przypomina mi się artykuł o błędzie w MSIE umożliwiający taki atak. Chociaż AFAIK zawsze można dotrzeć do winnego przez certyfikat - jeżeli klient raczy sprawdzić certyfikat który wysłał mu man-in-the-middle. Ja zawsze preferuję cookie, bo z przepisywaniem URLi są problemy. Raz że to zajmuje czas. Dwa że przy intensywnym JavaScripcie całość może przestać działać. A co do bezpieczeństwo sesji, to o dziwo generalnie zgadzam się z Królikiem. Jest kiepsko. W php za bardzo poszli w stronę łopatologiczności - session_start, sesja się tworzy i nic więcej nie wiadomo. W J2EE można dowiedzieć się, kiedy stworzono sesję, czy jest stara czy nowa (bardzo ważne - session fixation) itd. Chociaż, w php można napisać dobry session handler. To jest duży plus - całą obsługę sesji można wymienić, tak więc można z php zrobić system bardzo bezpieczny pod kątem sesji. |
|
|
|
sopel sesje, cookies czy przez url? 24.06.2004, 10:24:43 
hwao Możesz zrobic wlasne 'zabezpieczenia' wyst... 24.06.2004, 11:57:51 sopel sprawdzanie przeglądarki może być pewnym rozwiązan... 24.06.2004, 17:46:42 kicaj Najlepsze rozwiazanie podal hwao - link do artykuł... 24.06.2004, 18:06:52 sopel artykul znam dobrze, ale nie on jest przedmiotem t... 24.06.2004, 18:23:38 mateusch Cytat(sopel @ 2004-06-24 17:46:42)co do kontr... 21.10.2004, 20:06:29 sopel Cytat(mateusch @ 2004-10-21 20:06:29)tzw ... 21.10.2004, 22:15:49 hawk Cytat(mateusch @ 2004-10-21 20:06:29)tzw ... 22.10.2004, 08:15:30 sopel Cytat(hawk @ 2004-10-22 08:15:30)IP jest zmie... 22.10.2004, 09:46:40 MoD A jak nie wywalisz prośby o ponowne zalogowanie i ... 30.10.2004, 15:24:33 sopel Cytat(MoD @ 2004-10-30 15:24:33)A jak nie wyw... 21.11.2004, 13:36:11 poligon Cytat(sopel @ 2004-11-21 12:36:11)Cytat(MoD ... 21.11.2004, 14:13:27 sopel Cytat(poligon @ 2004-11-21 14:13:27)Cytat(sop... 21.11.2004, 14:49:46 MoD Cytat(sopel @ 2004-11-21 15:49:46)Cytat(polig... 21.11.2004, 15:55:37 sopel ale czy jak ktos spedza na stronie np. godzine (w ... 21.11.2004, 16:15:47 Krolik Niedogodnosc moze byc duza, bo niektorzy userzy ma... 7.12.2004, 11:43:23 bela_666 @hawk taki nagłówek istnieje i mi pokazuje moje we... 7.12.2004, 18:35:13 
Krolik CytatCo do man-in-the-middle dla SSL, przypomina m... 9.12.2004, 12:17:16  |
|
Aktualny czas: 5.10.2025 - 13:21 |
