форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы WEB технологии (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Сессии"

Сообщение от progger (ok) on 06-Авг-07, 17:02

Здравствуйте. На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом сесии. Может ли этот код украсть и войти на сайт от имени доугого пользователя? Если да, то как можно этого избежать? Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Сессии"

Сообщение от andy (??) on 07-Авг-07, 05:18

в этот уникальный номер можно зашивать некую личную информацию, например ip-адрес, юзер агента и т.п. Т.е. получить строку наподобие ip: 12.34.56.78 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 и всякого мусора для разнообразия сюда от этой строки взять хеш (md5 к примеру), который и будет являться УИНом и передаваться клиенту. На сервере в табличке с сессиями хранить УИН, ip и юзерагент. При обращении авторизованного пользователя сверять имеющиеся данные. Не панацея, конечно, но как дополнительное звено в защите можно использовать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Сессии"

Сообщение от .org on 07-Авг-07, 10:57

>Здравствуйте. > >На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом >сесии. Может ли этот код украсть и войти на сайт от >имени доугого пользователя? Если да, то как можно этого избежать? > >Спасибо. По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли делать через посредством апача, или через БД?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Сессии"
	Сообщение от Preogger on 07-Авг-07, 13:08
	>>Здравствуйте. >> >>На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом >>сесии. Может ли этот код украсть и войти на сайт от >>имени доугого пользователя? Если да, то как можно этого избежать? >> >>Спасибо. > >По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли >делать через посредством апача, или через БД? Подскажите, как авторизировать пользователя из HTML/PHP страници используя Apache, а точнее .htaccess?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Сессии"
	Сообщение от .org on 07-Авг-07, 13:14
	>[оверквотинг удален] >>>сесии. Может ли этот код украсть и войти на сайт от >>>имени доугого пользователя? Если да, то как можно этого избежать? >>> >>>Спасибо. >> >>По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли >>делать через посредством апача, или через БД? > >Подскажите, как авторизировать пользователя из HTML/PHP страници используя Apache, а точнее .htaccess? > Блин, ну мне ща Вам пол книги сюда совать? Сходите на phpclub.ru, на крайняк погуглите... З.Ы. Помнится мне, что в книге Джона Коггзолла по этому поводу целая глава расписана
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]