un progetto che ho realizzato (quello per Mitico chi ne fosse già al corrente), sta dando notevoli problemi con le sessioni...
ovvero, se viene linkata una news con il nome della sessione e il suo id, il visitatore che ci clicca si trova loggato con quel nome e si "appropria" di quella sessione...
cosa ho combinato?
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
le sessioni mi pare di ricordare che le hai implementate tu no?
allora può essere normale.. se ti basi solo sul sid che arriva in get è perfettamente normale... penso che le sessioni native di PHP così come le sessioni di questo forum ad esempio, si basino anche sull'ip di provenienza.... proprio per evitare che con un link si passi per chi non si è... la sessione ha una durata breve e l'ip sarà lo stesso per tutta la sessione [altrimenti non sarebbe una sessione].. indi per cui dovresti associare al sid l'ip dell'utente.. e quando controlli il sid dovresti controllare anche l'ip e non considerare la sessione se l'ip è diverso..
tutto questo... lo CREDO... perchè non sono certo di nulla.. ma a rigor di logica non può essere altro
e se ci sono 10 utenti dietro lo stesso proxy?
dimenticavo...anche se faccio il controllo sull'ip...come recupero il vero utente che si è collegato? ho una grande confusione in testa
beh.. no so che dirti.. ma la mia mi sembra una prima idea...Originariamente inviato da Ratatuia
e se ci sono 10 utenti dietro lo stesso proxy?
se l'ip non corrisponde a quello con cui è iniziata la sessione semplicemente non consideri la sessione...
Originariamente inviato da }gu|do[z]{®©
beh.. no so che dirti.. ma la mia mi sembra una prima idea...
se l'ip non corrisponde a quello con cui è iniziata la sessione semplicemente non consideri la sessione...
il mio era solo un dubbio
uffi, nn ne verrò a capo di questo scritp
ma cookie no eh?
Originariamente inviato da kuarl
ma cookie no eh?
solo cookie?
ciao,Originariamente inviato da Ratatuia
ovvero, se viene linkata una news con il nome della sessione e il suo id, il visitatore che ci clicca si trova loggato con quel nome e si "appropria" di quella sessione...
è uno dei problemi di sicurezza che può capitare se passi l'id di sessione via url.
La soluzione migliore è utilizzare i cookie (come fanno di default le sessioni native di PHP), l'alternativa è mantenere la vita della sessione per pochi minuti (sperando che nel frattempo qualcuno non utilizzi il link) e rigenerare l'id ad ogni accesso (il sistema di sessioni nativo prevede anche la comoda funzione session_regenerate_id)
per favore NIENTE PVT TECNICI da sconosciuti
Originariamente inviato da Fabio Heller
ciao,
è uno dei problemi di sicurezza che può capitare se passi l'id di sessione via url.
La soluzione migliore è utilizzare i cookie (come fanno di default le sessioni native di PHP), l'alternativa è mantenere la vita della sessione per pochi minuti (sperando che nel frattempo qualcuno non utilizzi il link) e rigenerare l'id ad ogni accesso (il sistema di sessioni nativo prevede anche la comoda funzione session_regenerate_id)
ciao fabio
ma quindi devo utilizzare session_set_cookie_params
oppure creo un cookie (che per altro c'è già dato che il sistema ha in comune il login con phpBB)?
Permessi di invio
Rispondi quotando