Старый 24.03.2008, 17:07   #1
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 219
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
Exclamation Вылет сессии с другого IP

Почему Сапа не прибивает сессии, если зайти с другого IP? (имеется ввиду сессия авторизации вебмастера/оптимизатора)

Суть бреши в безопасности - можно воровать cookie клиента (троянами, дырками ie ...) и ставить сессию себе, сливать бабло и удалять проекты. Сапа же не прикрывает сессию, если она пошла с другого IP.
big.bon вне форума   Ответить с цитированием
Старый 24.03.2008, 18:31   #2
Мастер
 
Аватар для timtroll
 
Регистрация: 02.04.2007
Сообщений: 594
Вес репутации: 219
timtroll скоро станет известенtimtroll скоро станет известен
Отправить сообщение для timtroll с помощью ICQ
По умолчанию

Похоже именно в этом и глюк, когда было массовое невхождение в аккаунт ... место на серванте кончается :-)
__________________
Уберите чекбокс "Не поднимать цену для уже размещённых ссылок"
А тут Вы быстро можете посчитать бюджет оптимизации
Не забывайте - создание сайта, создание сайтов!
timtroll вне форума   Ответить с цитированием
Старый 24.03.2008, 18:36   #3
Специалист
 
Регистрация: 16.03.2008
Сообщений: 256
Вес репутации: 202
sVs скоро станет известенsVs скоро станет известен
По умолчанию

Стандартный механизм сессий php не фиксирует IP для сеанса, это надо дописывать. Или, как вариант, менять идентификатор сессии при каждом обращении на сервер. Пока можно использовать https для исключения перехвата "в пути" и закрывать броузер после сеанса (кука удалится) для уменьшения вероятности увода трояном. Паранойя... :-)
sVs вне форума   Ответить с цитированием
Старый 24.03.2008, 18:39   #4
Эксперт
 
Регистрация: 12.03.2008
Адрес: будете смеяться, но я-таки нерезидент
Сообщений: 2,663
Вес репутации: 295
sergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущееsergbond - прекрасное будущее
По умолчанию

Сразу же просьба: если будете делать привязку сессии по IP - пожалуйста предусмотрите галочку для снятия этой фичи (прямо при логине).

У меня несколько одновременно работающих каналов. LoadBalancer отдает мне при запросе наиболее свободный/широкий канал, при этом иногда бывает так, что в пределах одной сессии я успеваю поработать с нескольких IP
__________________
Подыскиваю умных реферралов.
sergbond вне форума   Ответить с цитированием
Старый 24.03.2008, 18:43   #5
Специалист
 
Регистрация: 16.03.2008
Сообщений: 256
Вес репутации: 202
sVs скоро станет известенsVs скоро станет известен
По умолчанию

а еще, в иных биржах, есть возможность привязки логина к набору статических IP адресов (и наверное возможность отвязки оных), тогда вход в интерфейс возможен только с них :-)
sVs вне форума   Ответить с цитированием
Старый 24.03.2008, 18:50   #6
Специалист
 
Аватар для FliT
 
Регистрация: 14.03.2008
Адрес: Екатеринбург
Сообщений: 119
Вес репутации: 199
FliT скоро станет известенFliT скоро станет известен
Отправить сообщение для FliT с помощью ICQ
По умолчанию

вот привязка была бы очень даже к стати. по крайней мере для тех у кого постоянный IP.
а для тех у кого он меняется, можно ставить типа 127.0.*.* т.е. ограничить зону. хоть какая, но защита.

ps: а HTTPS только у меня тормозит на сапе или это "так и должно быть"? )
FliT вне форума   Ответить с цитированием
Старый 24.03.2008, 19:43   #7
Специалист
 
Регистрация: 16.03.2008
Сообщений: 256
Вес репутации: 202
sVs скоро станет известенsVs скоро станет известен
По умолчанию

не тормозит https^ это сам сервер у них тормозил, недавно стал бегать шустро, наверное анти-ддос систему свою наконец выключили :-)
sVs вне форума   Ответить с цитированием
Старый 24.03.2008, 20:46   #8
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 219
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
По умолчанию

Цитата:
Сообщение от sVs Посмотреть сообщение
Стандартный механизм сессий php не фиксирует IP для сеанса, это надо дописывать. Или, как вариант, менять идентификатор сессии при каждом обращении на сервер. Пока можно использовать https для исключения перехвата "в пути" и закрывать броузер после сеанса (кука удалится) для уменьшения вероятности увода трояном. Паранойя... :-)
механизм сессий - это технология, а не инструмент.
"стандартного механизма сессий" просто несуществует, есть "стандартный набор правил" для этого механизма, испоьзуемые программистом.
big.bon вне форума   Ответить с цитированием
Старый 24.03.2008, 20:47   #9
Мастер
 
Аватар для big.bon
 
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 219
big.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всемbig.bon - это имя известно всем
По умолчанию

Цитата:
Сообщение от sergbond Посмотреть сообщение
Сразу же просьба: если будете делать привязку сессии по IP - пожалуйста предусмотрите галочку для снятия этой фичи (прямо при логине).

У меня несколько одновременно работающих каналов. LoadBalancer отдает мне при запросе наиболее свободный/широкий канал, при этом иногда бывает так, что в пределах одной сессии я успеваю поработать с нескольких IP
плохо юзать балансёр на двух каналах - в большинстве систем привязка к ip критична, нежели удобство такого сёрфинга. уж проще навести порядок в своей сети, чем просить менять кучу сайтов под себя ))
big.bon вне форума   Ответить с цитированием
Старый 24.03.2008, 22:07   #10
Специалист
 
Регистрация: 25.09.2007
Сообщений: 361
Вес репутации: 211
shr - как роза среди колючекshr - как роза среди колючекshr - как роза среди колючекshr - как роза среди колючек
По умолчанию

Слить бабло легко не получится. Время нужно. А хозяин аккаунта, который следит за ним, это быстро увидит.
shr вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вылет из поиска genius-911 Ошибки при работе с системой 3 29.04.2008 13:04
Вылет сайтов из индекса Loginov_as Яндекс 9 14.04.2008 15:07
Вылет сайта из поиска vitant-mutant Вопросы по работе системы 5 05.02.2008 02:06
Сессии Set13 Вопросы по работе системы 6 01.02.2008 21:55
IPB, сессии и Сапа Hichkok Вопросы по работе системы 6 13.10.2007 15:05


Часовой пояс GMT +3, время: 21:04.