URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5150
[ Назад ]

Исходное сообщение
"Сессии"

Отправлено progger , 06-Авг-07 17:02 
Здравствуйте.

На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом сесии. Может ли этот код украсть и войти на сайт от имени доугого пользователя? Если да, то как можно этого избежать?

Спасибо.


Содержание

Сообщения в этом обсуждении
"Сессии"
Отправлено andy , 07-Авг-07 05:18 
в этот уникальный номер можно зашивать некую личную информацию, например ip-адрес, юзер агента и т.п.
Т.е. получить строку наподобие

ip: 12.34.56.78 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 и всякого мусора для разнообразия сюда

от этой строки взять хеш (md5 к примеру), который и будет являться УИНом и передаваться клиенту. На сервере в табличке с сессиями хранить УИН, ip и юзерагент. При обращении авторизованного пользователя сверять имеющиеся данные. Не панацея, конечно, но как дополнительное звено в защите можно использовать


"Сессии"
Отправлено .org , 07-Авг-07 10:57 
>Здравствуйте.
>
>На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом
>сесии. Может ли этот код украсть и войти на сайт от
>имени доугого пользователя? Если да, то как можно этого избежать?
>
>Спасибо.

По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли делать через посредством апача, или через БД?



"Сессии"
Отправлено Preogger , 07-Авг-07 13:08 
>>Здравствуйте.
>>
>>На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом
>>сесии. Может ли этот код украсть и войти на сайт от
>>имени доугого пользователя? Если да, то как можно этого избежать?
>>
>>Спасибо.
>
>По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли
>делать через посредством апача, или через БД?

Подскажите, как авторизировать пользователя из HTML/PHP страници используя Apache, а точнее .htaccess?


"Сессии"
Отправлено .org , 07-Авг-07 13:14 
>[оверквотинг удален]
>>>сесии. Может ли этот код украсть и войти на сайт от
>>>имени доугого пользователя? Если да, то как можно этого избежать?
>>>
>>>Спасибо.
>>
>>По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли
>>делать через посредством апача, или через БД?
>
>Подскажите, как авторизировать пользователя из HTML/PHP страници используя Apache, а точнее .htaccess?
>

Блин, ну мне ща Вам пол книги сюда совать? Сходите на phpclub.ru, на крайняк погуглите...
З.Ы. Помнится мне, что в книге Джона Коггзолла по этому поводу целая глава расписана