Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Да в этом в общем-то ничего нового и нет 18.08.03 18:10 Число просмотров: 1839
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
Мне известно три способа хранения ключа сессии: в плюшках, в странице и в юрле. Все широко используются, видел своими глазами. Насколько помню, в PHP поддержка сессий всеми тремя способами поддерживается "из коробки"...
Достоинства-недостатки - ну в частности недостаток тот, что как и в двух других случаях, ничего не стоит взять из исходников формы ключ, сгенерировать POST-запрос на веб-сервер с другого клиента и таким образом заспуфить сессию. Достоинство (несомненное): для среднего пользователя это весьма нетривиальная задачка :) Еще один недостаток состоит в том, что тебе нужно иметь форму на каждой странице. По сравнению с куками варианты с хранением сессии в странице и в юрле существенно проигрывают в плане поддержки: каждый новый линк на странице надо оснащать кодом, ведущим сессию (в случае формы это неявный Submit, в случае юрла это дописывание кода сессии в юрл).
Не знаю, на мой взгляд лучше, чем куки, для (незащищенного) хранения сессии пока еще ничего не придумано. Насчет отключения плюшек - сам себе злобный юзер. Пусть выделяет адреса и на них разрешает куки, если может. А то странно получается: сначала придумывается, как сделать пользователю удобнее, а потом этот пользователь говорит: "А я не хочу этим пользоваться, придумайте еще что-нибудь."
|
|
<web building>
|
Плавающий ключ вместо плюшек ? 18.08.03 17:25
Автор: yakuza Статус: Незарегистрированный пользователь
|
Есть идейка (возможно кто-то такое уже делал) - альтернатива кукам.
Столкнулся с такой фишкой, что пользователи часто выключают плюшки,
а выделять сессию нуно....
И решил придумать льтернативу :
Укладывать в форму захайданный ключ, сохраняющийся на сервере.
При каждом посте от пользователя идентифицировать его сессию по захайденному элементу , перегенерить ключик и в следующую форму укладывать новый, соответственно обновлять инфу о сессии.
Вроде как каждому новому посту соответствует иной ключ. И нет надобности пичкать клиентскую часть плюшками, которые могут быть отключены. И снижается вероятность уцепится за чужую сессию.
Гляньте пож-ста "непритертыми" глазами. Может у этого варианта есть какие-то опасные минусы ? А то что-то слишком быстро эта идея в голову пришла, может я что-то упустил из виду?
ЗЫ: ССЛ просьба не предлагать.
|
|
Да в этом в общем-то ничего нового и нет 18.08.03 18:10
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
Мне известно три способа хранения ключа сессии: в плюшках, в странице и в юрле. Все широко используются, видел своими глазами. Насколько помню, в PHP поддержка сессий всеми тремя способами поддерживается "из коробки"...
Достоинства-недостатки - ну в частности недостаток тот, что как и в двух других случаях, ничего не стоит взять из исходников формы ключ, сгенерировать POST-запрос на веб-сервер с другого клиента и таким образом заспуфить сессию. Достоинство (несомненное): для среднего пользователя это весьма нетривиальная задачка :) Еще один недостаток состоит в том, что тебе нужно иметь форму на каждой странице. По сравнению с куками варианты с хранением сессии в странице и в юрле существенно проигрывают в плане поддержки: каждый новый линк на странице надо оснащать кодом, ведущим сессию (в случае формы это неявный Submit, в случае юрла это дописывание кода сессии в юрл).
Не знаю, на мой взгляд лучше, чем куки, для (незащищенного) хранения сессии пока еще ничего не придумано. Насчет отключения плюшек - сам себе злобный юзер. Пусть выделяет адреса и на них разрешает куки, если может. А то странно получается: сначала придумывается, как сделать пользователю удобнее, а потом этот пользователь говорит: "А я не хочу этим пользоваться, придумайте еще что-нибудь."
|
| |
Согласен, и еще насчет куков 18.08.03 23:01
Автор: amirul <Serge> Статус: The Elderman
|
> адреса и на них разрешает куки, если может. А то странно
> получается: сначала придумывается, как сделать пользователю
> удобнее, а потом этот пользователь говорит: "А я не хочу
> этим пользоваться, придумайте еще что-нибудь."
Я видел немало сайтов, которые при невозможности сохранить куку (вернее получить ее обратно) выдают простую и непритязательную страничку: "Включи куки. Без них работать не хочу. Как это сделать смотри тут (и урл хелпа)."
|
| | |
Согласен, и еще насчет куков 19.08.03 08:54
Автор: yakuza Статус: Незарегистрированный пользователь
|
Спасибо за Ваше мнение! А то нарвался на задачу с нетривиальной, а точнее абсурдной постановкой "МАКСИМАЛЬНО ЗАЩИЩЕННЫЙ ИНТЕРФЕЙС - МАКСИМАЛЬНО ТУПОМУ ЮЗВЕРЮ". С одной стороны вроде правильно, а с другой вроде как любой человек начиная пользоватся открытыми способами получения данных все-таки должен взять на себя какую-то часть ответственности по их сохранности. Но увы наверняка после появления первых "бедолаг" прохлопавших пароли, ключи и т.д. начнутся полеты камней в сторону разработчика :). Но это уже другая тема ...
ЕЩЕ РАЗ СПАСИБО!
|
|
|
подробно о проекте
Анализ криптографических сетевых...
