 Sesje, i session.use_only_cookies |
| Sesje, i session.use_only_cookies |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 6.11.2007 Ostrzeżenie: (0%) 
 |
Zrezygnowałem z pisania własnego session_handlera (co okazało się ponad moje umiejętności) i postanowiłem napisać system autoryzacji na zwykłych sesjach, oczywiście odpowiednio zabezpieczony.
Na blogu Bełdzia wyczytałem, że dobrą praktyką jest wyłączenie możliwości przesyłania SID-a w $_GET i dopisania do .htaccess (bo do php.ini nie mam dostępu) nastepujących linii: Kod php_value session.use_only_cookies 1 php_value session.use_trans_sid 0 Rozumiem, że dzięki temu jedynym sposobem na przesłanie SID-a będzie zmienna $_COOKIE, ale co jeśli użytkownik ma wyłączoną obsługę ciastek... ? Czy nie dojdzie w ten sposób do sytuacji, że user z wyłączonymi ciastkami będzie po każdym kliknięciu wylogowywany? Z góry dzięki za odpowiedzi (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował Mrozie 11.08.2008, 15:51:21 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 085 Pomógł: 231 Dołączył: 12.05.2008 Ostrzeżenie: (0%)
|
Cytat Myślałem o czymś takim: przy logowaniu zapisuje do bazy danych unikalny kod użytkownika (zapisuje go również do ciastka), zaś przy autologowaniu porównuje wartość zapisaną w ciastku z wartością zapisaną w bazie danych. Czy jest to dobry sposób na zabezpieczenie danych? A co jak ktoś ukradnie ciastko z tym unikalnym kodem? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Dalej uważam, że oparcie o wersję przeglądarki jest dobrym pomysłem, przy autologowaniu natomiast sprawdzanie ip w moich projektach przeważnie pozwalam włączyć lub wyłączyć w profilu - dla tych bardziej zainteresowanych oraz ze stałym ip. Ogólnie wiadomo, że cookies są mniej bezpieczne niż sesje. Jeśli zaś user upgradeuje przeglądarkę moim zdaniem powinien się spodziewać tego, że może być jeszcze raz poproszony o hasło. |
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 22 Pomógł: 0 Dołączył: 6.11.2007 Ostrzeżenie: (0%)
|
Cytat(Shili @ 13.08.2008, 10:48:45 )  A co jak ktoś ukradnie ciastko z tym unikalnym kodem? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Sęk w tym, że na dobrą sprawą, co by nie wrzucić do ciastek to po przejęciu właściwie otwierają się wszystkie furtki (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Cytat(Shili @ 13.08.2008, 10:48:45 ) (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Dalej uważam, że oparcie o wersję przeglądarki jest dobrym pomysłem, przy autologowaniu natomiast sprawdzanie ip w moich projektach przeważnie pozwalam włączyć lub wyłączyć w profilu - dla tych bardziej zainteresowanych oraz ze stałym ip. O, to z opcjonalnym sprawdzaniem IP to dobry pomysł, bo moim głównym problemem było właśnie to, że zbyt wiely polskich internautów używa łąćz z dynamicznie generowanymi IP i dlatego w nich przypadku taka weryfikacja przy autologowaniu byłaby bez sensu. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Z drugiej strony tak sobie myślę, że może lepiej uszczelnić system przed atakami typu XSS czy SQL Injection zamiast paranoicznie bać się o wykradzenie ciasteczka? Czytałem kilka tutków na ten temat, filtruje dane przy pomocy strip_tags, addslashes czy mysql_real_escape_string, ale czy to wystarczy? Dzięki za zainteresowanie tematem Shili (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Ten post edytował Mrozie 13.08.2008, 10:02:37 |
|
|
|
Mrozie Sesje 11.08.2008, 15:49:50 
JoShiMa Cytat(Mrozie @ 11.08.2008, 16:49:50 )... 11.08.2008, 17:06:36 bełdzio no coz nie ma nic za darmo teraz tylko pytanie ja... 11.08.2008, 17:35:29 Crozin Generalnie użycie session_regenerate_id" titl... 11.08.2008, 18:11:26 Mrozie OK, ciastka w takim razie zostają.
Ale co do nich... 12.08.2008, 15:49:42 Shili Przeglądarkę możesz sprawdzać spokojnie - zlicz so... 12.08.2008, 16:04:25 Mrozie Hmmmm, nie zrozumieliśmy się chyba jednak.
Chce o... 13.08.2008, 00:05:15 Shili CytatSęk w tym, że na dobrą sprawą, co by nie wrzu... 13.08.2008, 10:09:39 Mrozie Ok, to jeszcze jedno. Czy zamiast przekazywania SI... 13.08.2008, 10:34:48 Shili Tak naprawdę identyfikator sesji tak czy siak się ... 13.08.2008, 10:39:52 Mrozie Czyli wychodzi na to, że jeśli ktoś się znajdzie w... 13.08.2008, 10:48:16 Shili Przy session.use_only_cookies użytkownik bez cooki... 13.08.2008, 10:57:36 
pyro Cytat(Shili @ 13.08.2008, 11:57:36 ) ... 13.08.2008, 11:00:39 Mrozie Zacząłem powoli wdrażać podane rozwiązania w życie... 14.08.2008, 00:38:58  |
|
Aktualny czas: 16.10.2025 - 19:48 |
