| ||||||||
| ||||||||
|
|
||||||||||||||||||
26.08.2004, 16:21
|
|
||||
 Регистрация: Jun 2004
Адрес: Moon
Сообщений: 44
|
Session
Допустим, что пользователь авторизовался, получил доступ, а потом по непонятным причинам закрыл или был вынужден закрыть окно браузера. Но сессия была уже создана, и файл с переменными лежит в темпах, он не удалился.
Теперь хаккер-экстрасенс угадывает код сессии(возможно он его подглядел) и вводит его в адресной строке и получает доступ к запретной области. Как можно удалить файл в тмр или может есть какой другой способ избежать этой проблемы? Спасибо!!!
__________________
Причина и следствие! |
|
26.08.2004, 16:51
|
|
||||
|
Ветеран форума
 Регистрация: Jul 2001
Адрес: Москва
Сообщений: 3,088
|
если хакер экстрасенс угадает номер сессии, пользователю не обязательно закрывать окно браузера =)))
не заморачивайся так сильно... я думаю довольно сложно увидив один раз запомнить 32 значную строку |
|
26.08.2004, 17:30
|
|
||||
|
Регистрация: Jun 2004
Адрес: Moon
Сообщений: 44
|
Допустим я вошел и занес страницу в избранное, где этот код и запомнился, а в тмр файл не удалился(сбойный вариант). Потом на мой же компьютер приходит кто-то еще, открывает браузер, открывает избранное и видит тот адрес, нажимает на него и заходит на запретную зону!!! Конечно можно сказать: что тот немного болен и это его вина. Но по моему это еще проблема и программиста. То есть было бы неплохо сделать так!!!
__________________
Причина и следствие! |
|
26.08.2004, 19:06
|
|
||||
|
Ветеран форума
Регистрация: Jul 2001
Адрес: Москва
Сообщений: 3,088
|
не волнуйся... сессия удалиться довольно скоро...
не будет такого, что она на долго там зависнет =) ты высосал проблему из пальца... решай более правильный проблемы.... с таким подходом, ты один скрипт будешь создавать веками... =) |
|
27.08.2004, 12:37
|
|
||||
|
Регистрация: Mar 2001
Адрес: Екатеринбург
Сообщений: 286
|
Можно поступить след образом. В таблице паролей хранить ещё и ИД сессии, который переписывать при каждой авторизации. В каждый файл включать проверку, соответствует ли ИД текущей сессии, записанному в базе. Идея понятно, или надо исходник?
__________________
защита информации |
|
28.08.2004, 12:54
|
|
||||
|
Регистрация: Jun 2004
Адрес: Moon
Сообщений: 44
|
А разве это будет не то же самое, что делает сессия. Ведь сессия сохраняет ID сессии в темпах и каждый раз проверяет его наличие. Твой вариант то же самое, но с другой стороны. Просто повторяешь дейсвия сессии.
Разве я не прав?
__________________
Причина и следствие! |
|
29.08.2004, 13:03
|
|
||||
 Регистрация: Aug 2001
Адрес: Barcelona
Сообщений: 1,277
|
Можно в сессии хранить айпи, браузер, ОС, имя машины клиента итд. и если хоть один параметр несовпадает трубить тревогу...
Но это смело можно будет назвать началом паранои )) Последний раз редактировалось kompadre; 29.08.2004 в 13:04. |
|
30.08.2004, 21:58
|
|
||||
|
Регистрация: Mar 2004
Сообщений: 224
|
А помоему, ничего паранойного
 Я частенько когда захожу на этот форум, у меня появляется Logged on as <имя юзера, но не мое> |
|
30.08.2004, 22:01
|
|
||||
|
Ветеран форума
Регистрация: Jul 2001
Адрес: Москва
Сообщений: 3,088
|
Цитата:
|
|
30.08.2004, 22:14
|
|
||||
|
Регистрация: Mar 2004
Сообщений: 224
|
Я конечно не танк в ПХП, но помоему тут столько юзеров сиддит, что я попадаю в чью то сессию.. или не так? Тогда объясните: )
|
 |
Часовой пояс GMT +4, время: 22:06. |
|
|
« Предыдущая тема | Следующая тема » |
| Опции темы | |
| Опции просмотра | |
|
|
Линейный вид
