ciao a tutti
Quali sono le controindicazioni nella scelta di verificare l'identità dell'utente mediante REMOTE_ADDR e USER_AGENT invece di usare un cookie con un SID?
grazie
ciao a tutti
Quali sono le controindicazioni nella scelta di verificare l'identità dell'utente mediante REMOTE_ADDR e USER_AGENT invece di usare un cookie con un SID?
grazie
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
"INVECE del sid" non è assolutamente una cosa saggia: tutta una lan esce con uno stesso ip ad esempio... e molto probabilmente in una lan hanno tutti lo stesso user agent... ^__^
Quei dati si utilizzano come ulteriore restrizione per le sessioni: non basta avere il sid giusto, ma bisogna avere anche lo stesso ip... così se ad esempio un utente fa copia/incolla di una URL in cui c'è anche il suo SID... gli altri, a meno che non abbiano lo stesso ip, non possono esserer scambiati per lui nonostante abbiano il suo SID
il mio problema è che in un caso i cookie possono essere disabilitati e per propagare il sid potrei ricorrere all'url, ma in questo caso non posso usare un sistema di caching lato server perchè altrimenti avrei sempre e solo il sid dell'ultimo utente che ha generato la cache
Permessi di invio
Rispondi quotando