Wylogowanie Uzytkownik ze wzgledu na ilosc sesji Opcje

[mikowski]

Witam,
troche sie zblokowalem. Mam nastepujacy przypadek uzycia :
- user loguje sie na strone z kompa 1 (ustawiamy sesje i cookie etc.)
- ten sam user dokonuje proby zalogowania na strone tyle ze z kompa 2

Jak wykryc taki przypadek i wygasic sesje (wylogowac) tego usera z strony otwartej na kompie 1 i pozostawic sesje na kompie 2 ?

Pozdrawiam

[wookieb]

Session handler który zapisuje sesje do bazy. Dodajesz do niego dodatkowe pole "login" W ktory,m trzymasz id badz login zalogowanego na ta sesje uzytkownika. Przy probie zalogowania z innego kompa usuwasz pierwsza sesje z tym samym loginem i voila.

[pyro]

Albo prościej -> stworzyć dodatkową kolumnę `logged_ip` i przy logowaniu zapisawać do niej IP użytkownika -> $_SERVER['REMOTE_ADDR'];

i teraz w skrypcie:

[PHP] pobierz, plaintext 
<?php
// zakładajac, że $logged_ip to kolumna pobrana z bazy z ostatnim IP zalogowanego usera
if($logged_ip != $_SERVER['REMOTE_ADDR'])
{
// wylogowanie
}
?>
[PHP] pobierz, plaintext 

[wookieb]

Przecież drugi komputer może mieć inne ip.

[pyro]

@wookieb, nie wiem czy my się dobrze zrozumieliśmy, ale mój przykład właśnie ilutruje taki przypadek

[wookieb]

Racja przepraszam Ale teraz to stwarza problem jeżeli 2 kompy są w jednej sieci i reprezentowane są przez to samo ip

[pyro]

Myślę, że podświadomie autorowi tematu chodziło o sytuację, gdzie są dwie oddzielne sieci, ale tego nie wiem. Ma dwa rozwiązania, które w zupełności wystarczy, niech sobie wybierze

// ADD

Jeszcze jedna możliwość: dodatkowa kolumna z PHPSESSID i porównywanie go analogicznie jak z moim ostatnim przykładem

[batman]

Racja przepraszam Ale teraz to stwarza problem jeżeli 2 kompy są w jednej sieci i reprezentowane są przez to samo ip

Da się wyciągnąć ip komputera, a nie sieci. Ja się nie spotkałem z sytuacją, w której dwie różne osoby miały ten sam IP na dwóch różnych komputerach w tym samym czasie.
Poszukaj w necie informacji o nagłówkach:
FORWARDED
FORWARDED_FOR
FORWARDED_FOR_IP
HTTP_FORWARDED
HTTP_FORWARDED_FOR
HTTP_FORWARDED_FOR_IP
X_FORWARDED
X_FORWARDED_FOR
HTTP_X_FORWARDED
HTTP_X_FORWARDED_FOR
CLIENT_IP
HTTP_CLIENT_IP
VIA
HTTP_VIA
HTTP_PROXY_CONNECTION

Któryś z nich będzie zawierał właściwe IP.

[pyro]

@batman, osobiście jestem za NAT'em. Mam 3 komputery i jak zamierzasz wyciągnąć IP mojego komputera z tej sieci ? Nie ma zbytnio możliwości... widoczne będzie tylko IP sieci.

[batman]

Jak już pisałem, nie spotkałem się z taką sytuacją, by nie można było wyciągnąć konkretnego IP. Nie mam teraz jak tego udowodnić, więc nie będę się upierał.

[wookieb]

Pamiętam o tych zmiennych ale chociażby takie X_FORWARDED_FOR nie jest dostępne domyślnie (o ile dobrze pamiętam) i o takie coś trzeba prosić administratora serwera. Poprawcie mnie jeżeli się mylę.

Nie jestem pewien, czy wyciągnie to adresy ip za NAT-em ale jeżeli tak to nadal sprawia to możliwość posiadania tych samych ip. Login jest o tyle unikalny, że nie zależy od komputera dlatego jest najbardziej uniwersalny.

//EDIT Tak jak myślałem, nie wszędzie to działa.
http://wookieb.pl/test_ip.php

[PHP] pobierz, plaintext 
<?php
$keys=array('FORWARDED',
'FORWARDED_FOR',
'FORWARDED_FOR_IP',
'HTTP_FORWARDED',
'HTTP_FORWARDED_FOR',
'HTTP_FORWARDED_FOR_IP',
'X_FORWARDED',
'X_FORWARDED_FOR',
'HTTP_X_FORWARDED',
'HTTP_X_FORWARDED_FOR',
'CLIENT_IP',
'HTTP_CLIENT_IP',
'VIA',
'HTTP_VIA',
'HTTP_PROXY_CONNECTION');
 
 
foreach($keys as $key)
{    
    if(isset($_SERVER[$key]))
    {
        echo $key.': '.$_SERVER[$key].'<br/>';
    }
    else echo '$_SERVER[''.$key.''] = brak<br/>';
    
    if(isset($_ENV[$key]))
    {
        echo $key.': '.$_ENV[$key].'<br/>';
    }
    else echo '$_ENV[''.$key.''] = brak<br/>';
}
?>
[PHP] pobierz, plaintext 

//EDIT Argument ZYX'a mówi wszystko

Ten post edytował wookieb 26.05.2009, 09:32:34

[zegarek84]

Zawsze można dorzucić jeszcze jeden warunek – USERAGENT przeglądarki internetowej – wtedy wyloguje nie tylko korzystając z innego komputera ale też z innej przeglądarki – oczywiście wszystkie te warunki połączyć - pomińmy sytuację że ktoś poustawia w przeglądarkach te same nagłówki ;p

pozatym przechowując paskey sesji to wcześniej zaniczyścić go np. czasem logowania (zapamiętać to także w bazie) - wtedy oba komputery na pewno będą miały różne paskey'e a jeden nieaktualny

Ten post edytował zegarek84 26.05.2009, 09:17:28

[Zyx]

Opieranie zabezpieczeń sesji na adresie IP innym niż REMOTE_ADDR to zagrożenie dla bezpieczeństwa (przypomnę, że parę dziur w phpBB polegało właśnie na użyciu X_FORWARDED_FOR i podobnych wynalazków). Dlaczego? REMOTE_ADDR to adres, z którego serwer otrzymał żądanie HTTP i na który będzie odsyłać odpowiedź. X_FORWARDED_FOR i podobne to zwykłe nagłówki HTTP, które nie muszą być ustawione lub może być w nich dosłownie cokolwiek, nawet coś bezsensownego. Zawartość takiego nagłówka można prosto zmanipulować i wykorzystać go do oszukania systemu zabezpieczeń na nim bazującego.

[batman]

Wszystkie nagłówki można zmodyfikować, więc ślepe poleganie na danych pochodzących od użytkownika jest co najmniej głupie.
Za każdym razem należy sprawdzić, czy mamy do czynienia z adresem IP.

~Zyx Twoje twierdzenie jest równie odkrywcze jak stwierdzenie, że niefiltrowane dane $_GET lub $_POST są niebezpieczne.

[wookieb]

~Zyx Twoje twierdzenie jest równie odkrywcze jak stwierdzenie, że niefiltrowane dane $_GET lub $_POST są niebezpieczne.

Uwierz znajdzie się stado osób, które są pewne tego że dane te (REMOTE_ADDR, X_FORWARDED_FOR) są zaufane. Dla ciebie takie stwierdzenie może nie jest odkrywcze ale dla innych jak najbardziej. Dlatego też taki komentarz jest zbędny.

Ten post edytował wookieb 26.05.2009, 09:43:56

[batman]

Jeśli ktoś nie zna podstaw bezpieczeństwa, to już nie mój problem. Przecież nie będę odpowiadał na pytanie i dodawał do tego wypracowania na 30 stron, zawierającego wszystkie aspekty poruszanej sprawy, od bezpieczeństwa zaczynając, na taktowaniu procesora kończąc.

Koniec OT.

[freeon]

Witam,
troche sie zblokowalem. Mam nastepujacy przypadek uzycia :
- user loguje sie na strone z kompa 1 (ustawiamy sesje i cookie etc.)
- ten sam user dokonuje proby zalogowania na strone tyle ze z kompa 2

Jak wykryc taki przypadek i wygasic sesje (wylogowac) tego usera z strony otwartej na kompie 1 i pozostawic sesje na kompie 2 ?

Pozdrawiam

Robisz to w ten sposób ze w momencie logowania generujesz sobie losowy ciag znakow i zapisujesz sobie w bazie danych w tabeli users i w sesji ta wratosc. Potem tylko zostaje sprawdzenie czy wartosc w sesji jest taka sama jak w bazie danych jesli nie niszczysz sesje