|
| |
|
|
| |
для: sl1p
(27.10.2008 в 20:56)
| | | спасибо! | |
| |
|
|
| |
|
|
| |
для: Loki
(28.10.2008 в 11:05)
| | | Звучит сурово, но это так и есть. | |
| |
|
|
| |
|
|
| |
для: Гость
(27.10.2008 в 17:16)
| | | Безопасность вообще обратно пропорциональна удобству. Хотите безопасности - запретите вообще удаленный доступ к информации: пусть человек приходит лично и с паспортом. В противном случае, придется идти на риск. | |
| |
|
|
| |
|
|
| |
для: sl1p
(27.10.2008 в 20:56)
| | | В этом случае если пользователь будет заходить из двух мест, его постоянно будет "разлогнивать". Вообщем этот вопрос я уже решил, без привязки к ip или чему-то еще. Мне отсутсвие привязки не очень нравится, но что поделаешь. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | пишите в куки никнейм или айди пользователя и какой нибудь уникальный код, который тоже запишите в базу. и по айди вытягивайте код и сверяйте с тем что в куки. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | возможно стоит привязывать ее к браузеру
У меня несколько браузеров и пользуюсь я ими в зависимости от настроения... вы хотите испортить мне настроение? Оставте хотябы возможность смены браузера (кукисов) путём повторной регистрации :-)
сайт востанавливает сеанс с этим пользователем
можно поподробнее, зачем вам это? чем вас не устраивает новый сеанс?
для предотвращения угона у пользователя кук проверяем неизменность его ip адреса
ip адрес, может сменится за время сеанса, но не думаю что это может происходить довольно часто. Но возможность отключения контроля ip адреса нужно предоставить. | |
| |
|
|
| |
|
|
| |
для: Loki
(22.10.2008 в 09:57)
| | | Мне кажется лучше постараться предвидить возможность угона печенья, чем сидеть и думать что все надежно защищенно и так. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 23:06)
| | | >Таким же как и номер сессии, xss уязвимость например
Ну если у вас сайт дырявый по определению, то имеет смысл красть прямо из БД. В противном же случае, куки - вполне надежны. | |
| |
|
|
| |
|
|
| |
для: Гость
(21.10.2008 в 19:43)
| | | > Провайдеры действительно практикуют таку фишку? А в России? Или проблема является надуманной?
Не сталкивался с такой проблемой, но к айпи привязываю только сессии админов. Если действительно кража сесси у юзера так опасна, то лучше сразу подумать о SSL.
> Для этого я ему в куки ставлю какую-нибуть метку
Вот это хорошо, хэш какой-нить ставить, например, а не пароль.
> Вопрос в том - как защитить эту метку опять от того что ее может "стырить" злоумышленник?
Ну тут только через дырку в сайте можно украсть, так что закрывайте дыры.
> возможно стоит привязывать ее к браузеру?
Думаю, не стоит. | |
| |
|
|
| |
|
|
| |
для: AcidTrash
(21.10.2008 в 22:58)
| | | >Насчет запомнить надолго, для этого кукисы и ставятся, с соответствующими параметрами жизни.
Я и не утверждаю обратного, вопрос вообще не в этом, а в том как их защитить от использования сторонним лицом.
>Что вы имеете ввиду? Стырить каким образом?
Таким же как и номер сессии, xss уязвимость например
>Просто чем ваш браузер(скажем например IE 6) отличается от моего IE 6?
Тем что у меня его (ослика 6.0) нету ;) Ничем, в этом и проблема, но все же привязка куки к браузеру возможна, не думаю что злоумышленник сразу просечет что в куках спрятана еще и информация о браузере, а если и просечет - чтож ему же больше работы. Другое дело насколько это эффективно. | |
| |
|
|
|
