авторЧерез SSL ловит?
12832075 + ты заметил на этом ресурсе SSL?! а таких ресурсов (с авторизацией без SSL) по нету пруд-пруди ;)
авторТрояны тырять куки в кафе?
с "весёлым админом" и трояны не понадобятся! + запросто! кто же там особенно будет следить за секьюрностью ПО?!

Мну не понятно, что именно, вы хотите мне доказать?
Что предложенный мною вариант, не соответствует вашей логике, или логике в принципе?

автормы хотим заставить тебя найти таки в гугле (ну или придумать) способ сделать так чтобы получение куки еще не давало доступа к личным данным.
гыгы... полагаю, у тебя этот вариант так и крутится на языке, только ты, почему то, стесняешься его озвучить ;)))
задумчиво: хотя, мб, и сама не знаешь ;)

автортрололо
что - аргументы закончились?! ;)

ТС
после продолжительных и оч сложных дебатов ;) мои рекомендации остались неизменны


это даст вполне себе нормальную (не оч затратную!) защиту от кражи сессионной куки авторизованного пользователя + я использую проверку браузера (но! это по вкусу, т.к. просто слегка усложняет жизнь ворам и, не даёт 100% гарантии). Проверку по ИП использовать не рекомендую, в силу причин изложенных мною ранее!!!
Так же, рекомендую задуматься о механизме кика вора (банальной сменой пароля) честно авторизованными пользователями, в случае обнаружения утечки! (этот механизм так же был описан мною ранее;)

P.S. естесственно, можно, забить на эти рекомендации, и подождать, пока мои оппоненты, собравшись с мыслями, найдут в гугле "сами незнаем что", и предложат, менее затратные и более эффективные, средства управления авторизацией\аутентификацией пользователей!!! ;)))

Успехов!!!

авторИмхо такая система легко обходится при прекращении деятельности юзера. Достаточно просто перехватить последний пакет с сайта простым снифером, и подставить по аналогии себе.
рациональное замечание, но, не факт, что эта сессия будет авторизована!
авторПо айпи какраз проверять стоит, так как сразу отпадает все кражи через троянов: хакеры получить то получат твои куки, а с ними ничего сделать не смогут.
пусть будет так! мне попрежнему думается, что это избыточно + может вызвать проблемы с нормальными пользователями!


12831694 6 июл 12, 22:11

авторОбьяснте подробнее на русском что делает
сессия, в PHP, по умолчанию, насколько я понимаю, сохраняется в ФС (в виде файла с опр именем)!
если сделать


создаётся новый сессионный файл - в него копируется инфа из старого файла - клиенту посылается кука (или вписывается в урл) новый сессионный ид для этого нового! файла. Старый файл остаётся висеть на сервере до тех пор, пока его не удалит сборщик мусора. И, при наличии старой сессионной куки (со старым идом) сервер переходит к этому старому файлу, считая, его не устаревшим!


даёт понять пыху, что старый сессионный файл как бэ уже и не нужен и он удаляется сразу (или почти сразу ;) после создания нового! Т.е. при наличии старой сессионной куки сервер уже не обратится к старому сессионному файлу тк его просто не существует - сессия протухла!
авторЕще интересует в кукисах id сессии само должно обновиться
ДА!
авторУбить сессию, если юзер не шевелился в течении 15 минут, без всяких разговоров и объяснений тчк
мне казалось это настолько очевидным, что как-то и не подумал говорить здесь об этом ;)
естественно!
авторНо я предлагаю совсем другой вариант авторизации без кукисов .
Просто авторизуемся с помощью сессии и на аяксе отправляем каждую минуту запрос на поддержание ссесии чтобы не вылетить с сайта.
см. скрин - там аякс запрос ;)