[PHP] Sesje 3586 3

O temacie

Autor RafalBudzis

Zaczęty 28.08.2014 roku

Wyświetleń 3586

Odpowiedzi 3

RafalBudzis

RafalBudzis

Użytkownicy
posty1967
Propsy808
ProfesjaSkrypter
  • Użytkownicy
Siemka mam pytanie jak wykonać dobrze sesje z zapamiętywaniem userów. Będę pisał swój mechanizm sesji ale jedno mnie zastanawia np na Themodders jestem zalogowany od kilku miesięcy i nie muszę się co chwila logować na nowo jak to jest zrobione i na ile jest to zabezpieczone.

No bo jak czytałem o zabezpieczaniu sesji polecają sprawdzać adres IP czy się zgadza jeśli się nie zgadza to znaczy ze ktoś chce się wbić bo jakimś cudem poznał ID sesji no i należy zrobić mu nową sesje. No ale mi się przez kilka miesięcy na 100 % zmienił IP i to kilka razy, nawet User Agent Przeglądarki się zmieniał a zalogowany na forum jestem cały czas.

Przy okazji macie jakieś rady co do pisania własnego mechanizmu sesji ?

Z góry dzięki ;)

Adanos

Adanos

Administrator
Szara eminencja
posty5204
Propsy3870
ProfesjaProgramista
  • Administrator
  • Szara eminencja
Ciasteczka. Informacje są zapisywane w ciasteczkach. Po prostu mają długą ważność.

RafalBudzis

RafalBudzis

Użytkownicy
posty1967
Propsy808
ProfesjaSkrypter
  • Użytkownicy
No tak w ciastkach jest przechowywane ID sesji ale co jeśli ktoś by sie dowiedział o twoim id sesji cudem je odgadł lub coś a potem podmieni sobie na twoje ID w swoich ciastkach to by się mógł do ciebie niby dostać.

No i na wielu portalach spotkałem się z mówieniem ze w sesji trzeba zapisywać IP i porównywać go z IP tego kto wchodzi na stronę jeśli jest ok to sesja jest ok jeśli dane będą rożne to sesja jest "ukradziona". Czyli to co czytałem to jakieś teorie spiskowe i nikt sesji nie zabezpiecza w żaden sposób ? :/

Adanos

Adanos

Administrator
Szara eminencja
posty5204
Propsy3870
ProfesjaProgramista
  • Administrator
  • Szara eminencja
Dlatego automatyczne logowanie nie jest polecane dla współdzielonych komputerów. Albo zapamiętujesz dane w ciastku i masz łatwość w użytkowaniu, bo nie musisz się logować, albo logujesz się za każdym razem i masz większe bezpieczeństwo. Ciastka wygasają po jakimś czasie np. po 30 dniach.

Nie znam się zbytnio na tych zagadnieniach dotyczących zabezpieczeń. Musiałbyś poszukać w internecie. Sesje mogą być szyfrowane, ale jak ktoś będzie miał ciastko, to będzie kłopot wtedy.


0 użytkowników i 1 Gość przegląda ten wątek.
0 użytkowników
Do góry