Всем хай. Такой вопрос: В некоторых статьях в целях безопасности при использовании сессий рекомедуют привязывать сессию к IP адресу, однако это не совсем удобно, к примеру GPRS у чела лагнул, ip сменился и сессия рвется. Дак вот вопрос: что если выполнять привязку к чему нибудь более стабильному, например к UserAgent ? Или вообще её не выполнять ? Как поступают опытные и знающие люди ?
Спс.
Куки и сесия дают хорошую связку
RuTrek, т.е. передача sid в куках ?
SID через Куки передается в любом случае, без этого сам механизм сессии невозможен, если ты только не станешь передавать SID в ссылках (что считается дурным тоном и небезоапасно).
А что касается привязки к IP, для мобильных технологий это лишнее.
Ты в своем же посту это правильно заметил, что адреса могут меняться динамически и возникнут неудобства с постоянным слетом авторизации.
Если в движке грамотно построен механизм авторизации, то проблем не должно возникнуть и без привязки к IP.
К примеру, в нашем движке ни разу не было жалоб на перехват сессии и уязвимость в авторизации.
AlkatraZ, Ну а если к примеру мне не хотелось бы хранить ид сессии только в куках ? Да, по умолчанию куку я буду ложить туда, но мне не хотелось бы отсеивать юзера на случай если куки у него отключены и он вообще не знает что это такое и с чем их едят. В случае отключенных кук я допишу сид к ссылкам, есть способ чтобы это было безопасно, стабильно и удобно для юзера ?
-akcent- (10.12.2010/13:14)
AlkatraZ, Ну а если к примеру мне не хотелось бы хранить ид сессии только в куках ? Да, по умолчанию куку я буду ложить туда, но мне не хотелось бы отсеивать юзера на случай если куки у него отключен
Session ID в ссылках - это всегда плохо.
На сегодняшний день, допускать таких юзеров (к авторизации) не стоит, об этом уже многократно писалась на всех Security форумах.
AlkatraZ (10.12.2010/13:16)
Session ID в ссылках - это всегда плохо.
На сегодняшний день, допускать таких юзеров (к авторизации) не стоит, об этом уже многократно писалась на всех Security форумах.
Тут я не совсем согласен. Да, возможно теоретически это и не лучший вариант - таскать сид джетом и это накладывает какие то нюансы по безопасности и ещё какие то проблемы, но все же если вспомнить такие ресурсы как forum.wen.ru, chat.kotok.ru в которых сид всегда таскался джетом. И НАСКОЛЬКО Я ЗНАЮ, их никогда не ломали, а если и ломали - то давно и неправда. Выходит если сделать граммотно, то все будет нормально
P.S. Правда насколько я могу судить, в этих скриптах используются свои классы для работы с БД, но думаю сути это всё равно не меняет.