URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 5150
[ Назад ]

Исходное сообщение
"Сессии"
Отправлено progger , 06-Авг-07 17:02

Здравствуйте.
На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом сесии. Может ли этот код украсть и войти на сайт от имени доугого пользователя? Если да, то как можно этого избежать?
Спасибо.

Содержание

Сессии,andy, 05:18 , 07-Авг-07
Сессии,.org, 10:57 , 07-Авг-07
- Сессии,Preogger, 13:08 , 07-Авг-07
  - Сессии,.org, 13:14 , 07-Авг-07

Сообщения в этом обсуждении

"Сессии"
Отправлено andy , 07-Авг-07 05:18

в этот уникальный номер можно зашивать некую личную информацию, например ip-адрес, юзер агента и т.п.
Т.е. получить строку наподобие
ip: 12.34.56.78 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4 и всякого мусора для разнообразия сюда
от этой строки взять хеш (md5 к примеру), который и будет являться УИНом и передаваться клиенту. На сервере в табличке с сессиями хранить УИН, ip и юзерагент. При обращении авторизованного пользователя сверять имеющиеся данные. Не панацея, конечно, но как дополнительное звено в защите можно использовать

"Сессии"
Отправлено .org , 07-Авг-07 10:57

>Здравствуйте.
>
>На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом
>сесии. Может ли этот код украсть и войти на сайт от
>имени доугого пользователя? Если да, то как можно этого избежать?
>
>Спасибо.
По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли делать через посредством апача, или через БД?

"Сессии"
Отправлено Preogger , 07-Авг-07 13:08

>>Здравствуйте.
>>
>>На моем сайте после авторизации пользователю выдается уникальный номер, который является кодом
>>сесии. Может ли этот код украсть и войти на сайт от
>>имени доугого пользователя? Если да, то как можно этого избежать?
>>
>>Спасибо.
>
>По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли
>делать через посредством апача, или через БД?
Подскажите, как авторизировать пользователя из HTML/PHP страници используя Apache, а точнее .htaccess?

"Сессии"
Отправлено .org , 07-Авг-07 13:14

>[оверквотинг удален]
>>>сесии. Может ли этот код украсть и войти на сайт от
>>>имени доугого пользователя? Если да, то как можно этого избежать?
>>>
>>>Спасибо.
>>
>>По-моему делать авторизацию через сессии не очень хорошая идея? Не лучше ли
>>делать через посредством апача, или через БД?
>
>Подскажите, как авторизировать пользователя из HTML/PHP страници используя Apache, а точнее .htaccess?
>
Блин, ну мне ща Вам пол книги сюда совать? Сходите на phpclub.ru, на крайняк погуглите...
З.Ы. Помнится мне, что в книге Джона Коггзолла по этому поводу целая глава расписана