.gif)
Спс. Привязка сессии
317
-akcent-
10 дек 2010 г., 15:40
Всем хай. Такой вопрос: В некоторых статьях в целях безопасности при использовании сессий рекомедуют привязывать сессию к IP адресу, однако это не совсем удобно, к примеру GPRS у чела лагнул, ip сменился и сессия рвется. Дак вот вопрос: что если выполнять привязку к чему нибудь более стабильному, например к UserAgent ? Или вообще её не выполнять ? Как поступают опытные и знающие люди ? Спс.
Спс.
RuTrek
10 дек 2010 г., 15:42
Куки и сесия дают хорошую связку
-akcent-
10 дек 2010 г., 15:43
RuTrek, т.е. передача sid в куках ?
AlkatraZ
10 дек 2010 г., 15:50
╭∩╮ (`-`) ╭∩╮
SID через Куки передается в любом случае, без этого сам механизм сессии невозможен, если ты только не станешь передавать SID в ссылках (что считается дурным тоном и небезоапасно).
AlkatraZ
10 дек 2010 г., 15:53
╭∩╮ (`-`) ╭∩╮
А что касается привязки к IP, для мобильных технологий это лишнее.
Ты в своем же посту это правильно заметил, что адреса могут меняться динамически и возникнут неудобства с постоянным слетом авторизации.
Если в движке грамотно построен механизм авторизации, то проблем не должно возникнуть и без привязки к IP.
К примеру, в нашем движке ни разу не было жалоб на перехват сессии и уязвимость в авторизации.
Ты в своем же посту это правильно заметил, что адреса могут меняться динамически и возникнут неудобства с постоянным слетом авторизации.
Если в движке грамотно построен механизм авторизации, то проблем не должно возникнуть и без привязки к IP.
К примеру, в нашем движке ни разу не было жалоб на перехват сессии и уязвимость в авторизации.
-akcent-
10 дек 2010 г., 16:14
AlkatraZ, Ну а если к примеру мне не хотелось бы хранить ид сессии только в куках ? Да, по умолчанию куку я буду ложить туда, но мне не хотелось бы отсеивать юзера на случай если куки у него отключены и он вообще не знает что это такое и с чем их едят. В случае отключенных кук я допишу сид к ссылкам, есть способ чтобы это было безопасно, стабильно и удобно для юзера ?
AlkatraZ
10 дек 2010 г., 16:16
╭∩╮ (`-`) ╭∩╮
-akcent- (10.12.2010/13:14)Session ID в ссылках - это всегда плохо.
AlkatraZ, Ну а если к примеру мне не хотелось бы хранить ид сессии только в куках ? Да, по умолчанию куку я буду ложить туда, но мне не хотелось бы отсеивать юзера на случай если куки у него отключен
На сегодняшний день, допускать таких юзеров (к авторизации) не стоит, об этом уже многократно писалась на всех Security форумах.
-akcent-
10 дек 2010 г., 20:33
AlkatraZ (10.12.2010/13:16)Тут я не совсем согласен. Да, возможно теоретически это и не лучший вариант - таскать сид джетом и это накладывает какие то нюансы по безопасности и ещё какие то проблемы, но все же если вспомнить такие ресурсы как forum.wen.ru, chat.kotok.ru в которых сид всегда таскался джетом. И НАСКОЛЬКО Я ЗНАЮ, их никогда не ломали, а если и ломали - то давно и неправда. Выходит если сделать граммотно, то все будет нормально
Session ID в ссылках - это всегда плохо.
На сегодняшний день, допускать таких юзеров (к авторизации) не стоит, об этом уже многократно писалась на всех Security форумах.
P.S. Правда насколько я могу судить, в этих скриптах используются свои классы для работы с БД, но думаю сути это всё равно не меняет.
Всего: 8
© 2024, JohnCMS