Вылет сессии с другого IP
Почему Сапа не прибивает сессии, если зайти с другого IP? (имеется ввиду сессия авторизации вебмастера/оптимизатора)
Суть бреши в безопасности - можно воровать cookie клиента (троянами, дырками ie ...) и ставить сессию себе, сливать бабло и удалять проекты. Сапа же не прикрывает сессию, если она пошла с другого IP. |
Похоже именно в этом и глюк, когда было массовое невхождение в аккаунт ... место на серванте кончается :-)
|
Стандартный механизм сессий php не фиксирует IP для сеанса, это надо дописывать. Или, как вариант, менять идентификатор сессии при каждом обращении на сервер. Пока можно использовать https для исключения перехвата "в пути" и закрывать броузер после сеанса (кука удалится) для уменьшения вероятности увода трояном. Паранойя... :-)
|
Сразу же просьба: если будете делать привязку сессии по IP - пожалуйста предусмотрите галочку для снятия этой фичи (прямо при логине).
У меня несколько одновременно работающих каналов. LoadBalancer отдает мне при запросе наиболее свободный/широкий канал, при этом иногда бывает так, что в пределах одной сессии я успеваю поработать с нескольких IP |
а еще, в иных биржах, есть возможность привязки логина к набору статических IP адресов (и наверное возможность отвязки оных), тогда вход в интерфейс возможен только с них :-)
|
вот привязка была бы очень даже к стати. по крайней мере для тех у кого постоянный IP.
а для тех у кого он меняется, можно ставить типа 127.0.*.* т.е. ограничить зону. хоть какая, но защита. ps: а HTTPS только у меня тормозит на сапе или это "так и должно быть"? ) |
не тормозит https^ это сам сервер у них тормозил, недавно стал бегать шустро, наверное анти-ддос систему свою наконец выключили :-)
|
Цитата:
"стандартного механизма сессий" просто несуществует, есть "стандартный набор правил" для этого механизма, испоьзуемые программистом. |
Цитата:
|
Слить бабло легко не получится. Время нужно. А хозяин аккаунта, который следит за ним, это быстро увидит.
|
Часовой пояс GMT +3, время: 18:05. |
Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.