Форум SAPE.RU
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Ошибки при работе с системой (http://forum.sape.ru/forumdisplay.php?f=14)
-   -   Вылет сессии с другого IP (http://forum.sape.ru/showthread.php?t=10545)

big.bon 24.03.2008 17:07
Вылет сессии с другого IP
 
Почему Сапа не прибивает сессии, если зайти с другого IP? (имеется ввиду сессия авторизации вебмастера/оптимизатора)

Суть бреши в безопасности - можно воровать cookie клиента (троянами, дырками ie ...) и ставить сессию себе, сливать бабло и удалять проекты. Сапа же не прикрывает сессию, если она пошла с другого IP.

timtroll 24.03.2008 18:31
Похоже именно в этом и глюк, когда было массовое невхождение в аккаунт ... место на серванте кончается :-)

sVs 24.03.2008 18:36
Стандартный механизм сессий php не фиксирует IP для сеанса, это надо дописывать. Или, как вариант, менять идентификатор сессии при каждом обращении на сервер. Пока можно использовать https для исключения перехвата "в пути" и закрывать броузер после сеанса (кука удалится) для уменьшения вероятности увода трояном. Паранойя... :-)

sergbond 24.03.2008 18:39
Сразу же просьба: если будете делать привязку сессии по IP - пожалуйста предусмотрите галочку для снятия этой фичи (прямо при логине).

У меня несколько одновременно работающих каналов. LoadBalancer отдает мне при запросе наиболее свободный/широкий канал, при этом иногда бывает так, что в пределах одной сессии я успеваю поработать с нескольких IP

sVs 24.03.2008 18:43
а еще, в иных биржах, есть возможность привязки логина к набору статических IP адресов (и наверное возможность отвязки оных), тогда вход в интерфейс возможен только с них :-)

FliT 24.03.2008 18:50
вот привязка была бы очень даже к стати. по крайней мере для тех у кого постоянный IP.
а для тех у кого он меняется, можно ставить типа 127.0.*.* т.е. ограничить зону. хоть какая, но защита.

ps: а HTTPS только у меня тормозит на сапе или это "так и должно быть"? )

sVs 24.03.2008 19:43
не тормозит https^ это сам сервер у них тормозил, недавно стал бегать шустро, наверное анти-ддос систему свою наконец выключили :-)

big.bon 24.03.2008 20:46
Цитата:
Сообщение от sVs (Сообщение 108804)
Стандартный механизм сессий php не фиксирует IP для сеанса, это надо дописывать. Или, как вариант, менять идентификатор сессии при каждом обращении на сервер. Пока можно использовать https для исключения перехвата "в пути" и закрывать броузер после сеанса (кука удалится) для уменьшения вероятности увода трояном. Паранойя... :-)
механизм сессий - это технология, а не инструмент.
"стандартного механизма сессий" просто несуществует, есть "стандартный набор правил" для этого механизма, испоьзуемые программистом.

big.bon 24.03.2008 20:47
Цитата:
Сообщение от sergbond (Сообщение 108806)
Сразу же просьба: если будете делать привязку сессии по IP - пожалуйста предусмотрите галочку для снятия этой фичи (прямо при логине).

У меня несколько одновременно работающих каналов. LoadBalancer отдает мне при запросе наиболее свободный/широкий канал, при этом иногда бывает так, что в пределах одной сессии я успеваю поработать с нескольких IP
плохо юзать балансёр на двух каналах - в большинстве систем привязка к ip критична, нежели удобство такого сёрфинга. уж проще навести порядок в своей сети, чем просить менять кучу сайтов под себя ))

shr 24.03.2008 22:07
Слить бабло легко не получится. Время нужно. А хозяин аккаунта, который следит за ним, это быстро увидит.


Часовой пояс GMT +3, время: 18:05.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.