Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] Bardzo dynamiczny adres IP
user2
post
Post #1





Grupa: Zarejestrowani
Postów: 41
Pomógł: 3
Dołączył: 26.01.2005

Ostrzeżenie: (0%)
-----

Witam,

nie do końca wiem czy piszę tego posta na dobrym subforum, ale problem łączy kilka zagadnień, a rozwiązanie musi być w PHP.

Zagadnienie polega na tym, iż w sklepie internetowym używam sesji do obsługi zalogowanych klientów. Zgodnie z wieloma zaleceniami w sieci i na różnych forach (na tym bodaj również) zastosowałem tam weryfikacje USER_AGENT i REMOTE_ADDR. Niestety okazało się, że niektórzy klienci mają bardzo zmienne IP co skutkuje "restartem" sesji co kilka (ilość jest losowa) przeładowań strony.

Długo nie było wiadomo o co chodzi, ale, gdy sprawdziłem razem z klientem jego IP za pomocą $_SERVER['REMOTE_ADDR'] na moim serwerze okazało się, że co kilka (min. 1, max. 3) kliknięcia F5 adres IP ulega zmianie. Dokładnie rzecz biorąc kręci się w kółko, ale nie zmienia to faktu, że zapisanie adresu IP w sesji generuje tylko problemy.

W związku z tym mam do Was dwa pytania: czy znane są Wam tego typu przypadki "dynamicznego" IP (skąd to się może brać?) oraz czy istnieje jakiś inny (oprócz USER_AGENT) wyróżnik, który można by umieścić w sesji, żeby choć trochę uprzykrzyć życie "chakierom" (IMG:style_emoticons/default/smile.gif) ?

Z góry dzięki za wszelkie podpowiedzi i pomoc!
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
by_ikar
post
Post #2





Grupa: Zarejestrowani
Postów: 1 798
Pomógł: 307
Dołączył: 13.05.2009
Skąd: Gubin/Wrocław

Ostrzeżenie: (0%)
-----

Wiesz co, zastanawiałem się nad tą kwestią, i wydaje mi się że wystarczy raz na jakiś czas, powiedzmy co 5-10min zregenerować sesję i wówczas nawet jeżeli ktoś przechwyci ID sesji, bo powiedzmy będziemy mieli dziurę xss na stronie, to musiałby w przypadku próby włamania się, od razu przystąpić do działania. Wydaje mi się że regeneracja sesji co 5 min, powinna być OK.. Google np nie sprawdza adresu IP w swoich sesjach, i możesz być na 10 komputerach jednocześnie zalogowany.

Ostatecznie zrobię to tak, regeneracja sesji co 5min, i będę tworzył sumę md5 z useragenta. Wiadomo, IP się zmieni, lub ktoś przechwyci ID sesji, pozostaje jeszcze w miarę szybka regeneracja, plus sprawdzanie sumy kontrolnej z user agenta. Nie wiem czy to rozwiązanie jest idealne, ale póki co w moich aplikacjach będę musiał tak pozmieniać, bo to IP w internecie mobilnym to jest jakaś masakra.. Zmienia się dosłownie samo i to praktycznie co chwila, w różnych losowych odstępach czasu.. ;/
Go to the top of the page
+Quote Post

Posty w temacie
- user2   [PHP] Bardzo dynamiczny adres IP   8.03.2012, 22:34:43
- - xxdrago   Ja mam np. taki aktualnie (IP). Hmm, a nie lepiej...   8.03.2012, 22:45:25
- - user2   Dzięki za linka, postaram się zastosować wskazówki...   10.03.2012, 19:10:15
- - by_ikar   Ostatnio zaglądałem do tego tematu i trochę bagate...   13.03.2012, 13:49:10
- - user2   No to widzę, że już nie tylko ja mam ten problem. ...   13.03.2012, 23:00:56
- - by_ikar   Wiesz co, zastanawiałem się nad tą kwestią, i wyda...   13.03.2012, 23:58:57

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 28.12.2025 - 00:07
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn