24.03.2008, 17:07 | #1 |
Мастер
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 222
|
Вылет сессии с другого IP
Почему Сапа не прибивает сессии, если зайти с другого IP? (имеется ввиду сессия авторизации вебмастера/оптимизатора)
Суть бреши в безопасности - можно воровать cookie клиента (троянами, дырками ie ...) и ставить сессию себе, сливать бабло и удалять проекты. Сапа же не прикрывает сессию, если она пошла с другого IP. |
24.03.2008, 18:31 | #2 |
Мастер
|
Похоже именно в этом и глюк, когда было массовое невхождение в аккаунт ... место на серванте кончается :-)
__________________
А тут Вы быстро можете посчитать бюджет оптимизации Не забывайте - создание сайта, создание сайтов! |
24.03.2008, 18:36 | #3 |
Специалист
Регистрация: 16.03.2008
Сообщений: 256
Вес репутации: 204
|
Стандартный механизм сессий php не фиксирует IP для сеанса, это надо дописывать. Или, как вариант, менять идентификатор сессии при каждом обращении на сервер. Пока можно использовать https для исключения перехвата "в пути" и закрывать броузер после сеанса (кука удалится) для уменьшения вероятности увода трояном. Паранойя... :-)
|
24.03.2008, 18:39 | #4 |
Эксперт
Регистрация: 12.03.2008
Адрес: будете смеяться, но я-таки нерезидент
Сообщений: 2,663
Вес репутации: 297
|
Сразу же просьба: если будете делать привязку сессии по IP - пожалуйста предусмотрите галочку для снятия этой фичи (прямо при логине).
У меня несколько одновременно работающих каналов. LoadBalancer отдает мне при запросе наиболее свободный/широкий канал, при этом иногда бывает так, что в пределах одной сессии я успеваю поработать с нескольких IP
__________________
|
24.03.2008, 18:50 | #6 |
Специалист
|
вот привязка была бы очень даже к стати. по крайней мере для тех у кого постоянный IP.
а для тех у кого он меняется, можно ставить типа 127.0.*.* т.е. ограничить зону. хоть какая, но защита. ps: а HTTPS только у меня тормозит на сапе или это "так и должно быть"? ) |
24.03.2008, 20:46 | #8 | |
Мастер
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 222
|
Цитата:
"стандартного механизма сессий" просто несуществует, есть "стандартный набор правил" для этого механизма, испоьзуемые программистом. |
|
24.03.2008, 20:47 | #9 | |
Мастер
Регистрация: 04.11.2007
Сообщений: 747
Вес репутации: 222
|
Цитата:
|
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вылет из поиска | genius-911 | Ошибки при работе с системой | 3 | 29.04.2008 13:04 |
Вылет сайтов из индекса | Loginov_as | Яндекс | 9 | 14.04.2008 15:07 |
Вылет сайта из поиска | vitant-mutant | Вопросы по работе системы | 5 | 05.02.2008 02:06 |
Сессии | Set13 | Вопросы по работе системы | 6 | 01.02.2008 21:55 |
IPB, сессии и Сапа | Hichkok | Вопросы по работе системы | 6 | 13.10.2007 15:05 |
Часовой пояс GMT +3, время: 01:01.