Sesje, i session.use_only_cookies Opcje

[Mrozie]

Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.

Na blogu Bełdzia  wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii:

Kod

php_value session.use_only_cookies 1 
php_value session.use_trans_sid 0

Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany?

Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Mrozie 11.08.2008, 15:51:21

[Shili]

Myślałem o czymś takim: przy logowaniu zapisuje do bazy danych unikalny kod użytkownika (zapisuje go również do ciastka), zaś przy autologowaniu porównuje wartość zapisaną w ciastku z wartością zapisaną w bazie danych. Czy jest to dobry sposób na zabezpieczenie danych?

A co jak ktoś ukradnie ciastko z tym unikalnym kodem? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Dalej uważam, że oparcie o wersję przeglądarki jest dobrym pomysłem, przy autologowaniu natomiast sprawdzanie ip w moich projektach przeważnie pozwalam włączyć lub wyłączyć w profilu - dla tych bardziej zainteresowanych oraz ze stałym ip.

Ogólnie wiadomo, że cookies są mniej bezpieczne niż sesje. Jeśli zaś user upgradeuje przeglądarkę moim zdaniem powinien się spodziewać tego, że może być jeszcze raz poproszony o hasło.