7 Responses for "Nie będzie notek :) session-handler"

1. Coroner
      02-11-2005 @ 22:52 1

   pisz pisz potem mnie nauczysz

2. MMP
      03-11-2005 @ 23:23 2

   Normanos też bym tak chciał, ale pisząc 2 godziny wychodze z siebie i ide jeść, a potem gdzieś znikam

   user_agent jest nie potrzebny, nawet do rozpoznawania botów. Bedzie Ci tylko zajmował miejsce w tak przeciążonej tabeli jakie są sesje.

   user_ip w warunku where też jest nie potrzebne. Jak zrobiłbyś małego buga przez przpadek prawdopodobnie umożliwiło by to na bez problemowe zalogowanie sie na konto innej osoby z sieci zew.

   Pochwal sie potem aplikacją

   Pozdrawiam

3. Michał 'Vengeance' Stanowski
      04-11-2005 @ 18:09 3

   Po co IP i UserAgent? To główne czynniki dla których pisze się własny SessionHandler. Sam zauważyłeś, że PHP rozpoznaje sesje tylko po SessID. Często zdaża się, że nieświadomy użytkownik podając komuś link pozostawia także ów ID. “Czyste” PHP tego nie zauważy i dojdzie do przejęcia sesji.

   Napisanie własnego SessionHandlera wykorzystującego IP i UserAgent pozwala jeszcze bardziej zwiększyć bezpieczeństwo, poprzez dopuszczenie do danej sesji użytkownika mającego to samo IP i przeglądarkę. Można jeszcze z językami pokombinować etc.
   Ktoś wyżej napisał
   “user_ip w warunku where też jest nie potrzebne. Jak zrobiłbyś małego buga przez przpadek prawdopodobnie umożliwiło by to na bez problemowe zalogowanie sie na konto innej osoby z sieci zew.”
   100% bezpieczeństwa nigdy nie ma, ale uważam, że IP i UserAgent nie są zbędne jak twierdzisz, lecz są bardzo dobrym sposobem na zwiększenie bezpieczeństwa danych

4. normanos
      04-11-2005 @ 18:45 4

   dzięki za porady. podoba mi się to blogowanie

   zasadności user_IP nie kwestionowałem. to własnie zrobiłem. user_agenta też mam aczkolwiek tego w pytaniach jeszcze nie używałem. po prostu spraqwdzam session_id i user_ip. wzorowałem sie na forach a tam tez nie widziałem co robia z tym user_agentem. może w innej częsci go wykorzystuja, w każdym razie sam handler w tych forach nie robił nic z user_agentem.

5. MMP
      04-11-2005 @ 19:11 5

   | ?Czyste? PHP tego nie zauważy i dojdzie do przejęcia sesji.
   W moim session handlerze nie wystarczy przekazać sesji w adresie potrzebne są też cookie(jeżeli ktoś ma wyłączone to przykro mi ale nie będzie mógł korzystać z systemu. Nie będe narażać na dziury w systemie przez pare procent ludzi)
   | lecz są bardzo dobrym sposobem na zwiększenie bezpieczeństwa danych
   Kiedyś w starych wersjach mozilli z tego co wiem była opcje dzięki której można było podszyć się pod dany numer IP.

6. Michał 'Vengeance' Stanowski
      04-11-2005 @ 21:57 6

   | Kiedyś w starych wersjach mozilli z tego co wiem była opcje dzięki której można było podszyć się pod dany numer IP.

   Cuda jakieś wygadujesz :]

   | jeżeli ktoś ma wyłączone to przykro mi

   Tobie może tak… ja jednak dbam o te kilka procent, tak samo jak o tych z rozdzielczością 640×480 czy ludzi z przeglądarkami tekstowymi itd. itd.

   Tak jak powiedziałem, 100% bezpieczeństwa się nie osiągnie, więc wymyślanie że coś tam pozwalało na podszycie sie pod IP jest bezsensowne. Tak samo przecież ktoś sobie będzie sieć podsłuchiwał i kupa :] Dlatego ważne jest określenie poziomu bezpieczeństwa jaki jest konieczny dla danego skryptu/portalu bo nie zawsze musi to być coś w rodzaju Strefy 51 w Ameryce ;]

7. bela_666
      06-11-2005 @ 12:02 7

   90% czasu zajmuje 10% kodu