|
|
|||||
Регистрация: Jun 2004
Адрес: Moon
Сообщений: 44
|
Session
Допустим, что пользователь авторизовался, получил доступ, а потом по непонятным причинам закрыл или был вынужден закрыть окно браузера. Но сессия была уже создана, и файл с переменными лежит в темпах, он не удалился.
Теперь хаккер-экстрасенс угадывает код сессии(возможно он его подглядел) и вводит его в адресной строке и получает доступ к запретной области. Как можно удалить файл в тмр или может есть какой другой способ избежать этой проблемы? Спасибо!!!
__________________
Причина и следствие! |
|
|||||
Ветеран форума
|
если хакер экстрасенс угадает номер сессии, пользователю не обязательно закрывать окно браузера =)))
не заморачивайся так сильно... я думаю довольно сложно увидив один раз запомнить 32 значную строку |
|
|||||
Регистрация: Jun 2004
Адрес: Moon
Сообщений: 44
|
Допустим я вошел и занес страницу в избранное, где этот код и запомнился, а в тмр файл не удалился(сбойный вариант). Потом на мой же компьютер приходит кто-то еще, открывает браузер, открывает избранное и видит тот адрес, нажимает на него и заходит на запретную зону!!! Конечно можно сказать: что тот немного болен и это его вина. Но по моему это еще проблема и программиста. То есть было бы неплохо сделать так!!!
__________________
Причина и следствие! |
|
|||||
Ветеран форума
|
не волнуйся... сессия удалиться довольно скоро...
не будет такого, что она на долго там зависнет =) ты высосал проблему из пальца... решай более правильный проблемы.... с таким подходом, ты один скрипт будешь создавать веками... =) |
|
|||||
Можно поступить след образом. В таблице паролей хранить ещё и ИД сессии, который переписывать при каждой авторизации. В каждый файл включать проверку, соответствует ли ИД текущей сессии, записанному в базе. Идея понятно, или надо исходник?
__________________
защита информации |
|
|||||
Регистрация: Jun 2004
Адрес: Moon
Сообщений: 44
|
А разве это будет не то же самое, что делает сессия. Ведь сессия сохраняет ID сессии в темпах и каждый раз проверяет его наличие. Твой вариант то же самое, но с другой стороны. Просто повторяешь дейсвия сессии.
Разве я не прав?
__________________
Причина и следствие! |
|
|||||
Можно в сессии хранить айпи, браузер, ОС, имя машины клиента итд. и если хоть один параметр несовпадает трубить тревогу...
Но это смело можно будет назвать началом паранои )) Последний раз редактировалось kompadre; 29.08.2004 в 13:04. |
|
|||||
Регистрация: Mar 2004
Сообщений: 224
|
А помоему, ничего паранойного
Я частенько когда захожу на этот форум, у меня появляется Logged on as <имя юзера, но не мое> |
|
|||||
Ветеран форума
|
Цитата:
|
|
|||||
Регистрация: Mar 2004
Сообщений: 224
|
Я конечно не танк в ПХП, но помоему тут столько юзеров сиддит, что я попадаю в чью то сессию.. или не так? Тогда объясните: )
|
Часовой пояс GMT +4, время: 22:06. |
|
« Предыдущая тема | Следующая тема » |
Опции темы | |
Опции просмотра | |
|
|