|
|
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
Использую пхп4 в котором уже есть встроенный механизм сессий. До этого пользовался механизмом сессий для пхп3, который есть в библиотеке PHPLIB. Хочу перейти на нормальный механизм, не эмуляцию. Возникает следующий вопрос (по большому счету не связанный с вступлением): если заказчик просит, чтобы была возможность юзерам ходить авторизованным, но с выключенными куками. Ну есть у некоторых мания преследования... Как быть? Сказать твердо: только куки - они безопасны, если хотите быть авторизованным и пользоваться сервисами проекта - включите поддержку куков. Или таскать в урле PHPSESSID. Против этого варианта говорит мой напарник, мол показать идентификатор сессии - то же самое, что показать пароль и логин. Мол взломают быстрее. Будет более дырявым проект. В принципе я согласен, но есть одно но... Это широко используемый вариант: включены куки - используются они, выключены - таскается идентификатор сессии в урле. Я считаю как вариант: для админки сделать только на куках, никаких идентификаторов админских сессий в урле, так же и для модераторов. А вот для участников - ну прое..л сессию - твоя проблема. ЗЫ: все статьи про сессии у меня передо мной, я их внимательно перечитал на несколько раз, все обдумал - и пишу уже переварив все. Поэтому просьба: не надо кидаться ссылками на пхпклуб и вебскрипт. Замечания Фаната(RomikChief), tserbis (Сергея Бресь) прочитал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2004, 07:45 |
|
||
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
Ничего говорить не надо - если ты внимательно прочёл - то должен был понять, что то, какой механизм использовать - тебя волновать вообще не должно. Аргументы твоего приятеля, мягко говоря, просто неубедительны (для пущей подстраховки можешь хранить в сессии IP пользователя, ещё какие-либо данные, приходящие в хидерах от клиента - не сошлось - пошёл нафиг - сессия не твоя и человек считается неавторизованным). Другое дело, пихать SID неавторизованному пользователю - не стоит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2004, 08:50 |
|
||
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
Сессии зарекомендовали себя как достаточно надежное средство для создания относительно защищенных проектов. Поетому доводы твоего напарника мяко говоря сырые. Сессии ведь надо создавать для авторизованых юзеров. Кроме того никто не мешает пихнуть в данние сессии тото типа REMOTE_ADDR && HTTP_X_FORWARDED_TO, проверять их и REFERER'a. А после закрития броузера сессия розрывается, а на сервере все подчищается. With best regards Alex Rootoff ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2004, 18:43 |
|
||
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
Alex RootoffСессии зарекомендовали себя как достаточно надежное средство для создания относительно защищенных проектов. ... Речь идет не о сессиях как таковых, а о ХРАНЕНИИ ИДЕНТИКАТОРА СЕССИИ: в куках или в урле. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2004, 19:52 |
|
||
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
Cookie , если вы не поняли - сам по себе идентификатор сессии ничего не значит. Т.е. вообще ничего. И никакой угрозы безопасности сам по себе он не несёт. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2004, 20:35 |
|
||
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
* Cookie , если вы не поняли - сам по себе идентификатор сессии ничего не значит. Т.е. вообще ничего. И никакой угрозы безопасности сам по себе он не несёт. Это всерьез? А как насчет если я как админ протерял идентификатор сессии и сессия еще жива? пРотерял = подглядели, скопировали, etc... Начали пользоваться, все время продлевая сеанс, даже когда реальный админ уже покинул проект, правда забыв нажать кнопку "Выйти" :-( пакостей можно много наделать, не говоря уже о коммерческом шпионаже и прочих недобрых вещах. Я не прав? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.09.2004, 22:03 |
|
||
|
(PHP) Cookie vs PHPSESSID
|
|||
|---|---|---|---|
|
#18+
Cookie , вы бы внимательнее читали что-ли - "сами по себе сессии" от "сам по себе URL" и "сами по себе куки" в плане безопасности ничем не отличаются. Вот реализация авторизации, независимо от того, на чём она сделана - это да. Куки тоже можно подсмотреть/подслушать, как и SID в URL'е. Какие меры можно принять, чтобы увеличить безопасность - я уже писал, а сверхважные коммерческие проекты реализовывать на куках или сессиях одинаково небезопасно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.09.2004, 00:04 |
|
||
|
|
start [/forum/topic.php?fid=23&msg=32707519&tid=1478203]: |
0ms |
get settings: |
9ms |
get forum list: |
16ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
418ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
60ms |
get tp. blocked users: |
1ms |
| others: | 202ms |
| total: | 726ms |
| 0 / 0 |
