# Andrei4ik93 (14.12.2014 / 12:51)
там число меняестся при обновлениях страницы по сайту((((
То есть если другой юзер зайдет под твоей учеткой то число не совпадет и сессия потеряется
Ну так, у тебя сразу хеш пишется в базу а потом проверяется или как там. Короч возьми зайди на акк с другого браузера и посмотри что будет. Сомнительная какая то защита.
Хотя не, коре.пхп первым подключается. Т.Е. сразу проверяется а потом пишется в базу. Но, я что-то не пойму - если хеша нет или он не верен, то что? Обрывает авторизацию? Ок. Авторизуемся заново, после этого что делается? Генерируется хеш, проверяется, а потом пишется в БД. И так при каждом обновлении страницы. Так выходит что каждый раз хеш не будет совпадать с тем что в БД, так как проверяется прошлый кеш с только что сгенерируемым.
# ValekS (14.12.2014 / 12:54)
Ну так, у тебя сразу хеш пишется в базу а потом проверяется или как там. Короч возьми зайди на акк с другого браузера и посмотри что будет. Сомнительная какая то защита.
Хэш берется из системы....
Andrei4ik93, Хочешь скажу что будет!?
У меня как-то раз, меня мой админ ломанул на kmx.ru - это было 4 года назад.
На kmx.ru тоже был обрыв сессии если два чела с одного акка сидят.
Я блин даже пароль сменить не мог так как эта зараза постоянно входила в акк, а меня выкидывало.
С другого то браузера все будет работать.
Этр если куки подставят тогда потеряется сессия
Та я и сам быдлокодер вот и вас спращиваю
# Andrei4ik93 (14.12.2014 / 12:57)
С другого то браузера все будет работать.
Этр если куки подставят тогда потеряется сессия
Сайт то хоть вообще работает с этой темой как то? Если при авторизации всё будет нормально, то смысл взломщику подставлять куки и т.д.? Проще же просто авторизоваться. Мне кажется если кто-то может стырить куки, то пароль он может стырить проще и быстрее.
Andrei4ik93, Просто ты себе сам герой сделаешь. Я поставлю парсер на авто-вход под твоим паролем и логином и буду каждые 10 сек входить на сайт, а ты не сможешь нечего сделать как обычный пользователь.
Сделай просто проверку IP с последнего входа. На Джоне где-то уже обсуждали эту тему. Олег специально не сделал это.
# Andrei4ik93 (14.12.2014 / 12:56)
Хэш берется из системы....
Смотри, хеш генерируется и проверяется в коре, пишется в БД в хеад.пхп. Значит сразу идёт генерация и проверка, потом запись. Т.Е. когда юзер зайдёт, хеш сгенерируется и начнёт проверяться, с чем я не знаю. Так как в БД ничего нет. Потом может он в БД как то запишется всё таки. Ладно. Но опять же - обновление страницы = новый хеш, проверка = новый хеш - хеш из БД(записанный при прошлом обновлении страницы - старый хеш). Получится что проверка всегда будет False. И то, тут походу записи в БД то и не будет ниразу, так как до подключения хеада дело не дойдёт - в ядре получится фолс и авторизация оборвётся.
# blackvj (14.12.2014 / 13:02)
Сделай просто проверку IP с последнего входа. На Джоне где-то уже обсуждали эту тему. Олег специально не сделал это.
Ага. И я на следующий день на сайт не попаду, так как у мну ай-пи меняется в 0:00 каждый день. Т.Е. мне даётся статический ай-пи на один день, выглядит он примерно так: 105.185.18*.*** - там где звёздочки меняется ежедневно в 0:00.
ValekS, Я знаю, поэтому и говорб про это. Что с динамическими IP толку 0.
