Меню
Что нового?

Авторизация пользователей на сайте с защитой от дурака?

Mr_Max

Mr_Max

Первый класс. Зимние каникулы ^_^
Команда форума
Авторизация пользователей на сайте с защитой от дурака?

Ребята, здравствуйте.
Помогите плз, советом.
На сайте для сотрудников есть закрытый раздел для внутреннего использования (ПХП 4.3.11, Мускул).
Пользователь авторизируется на сайте, после чего параметры доступа пишутся в сессию.
Куки не используются.
Нужно сделать невозможным заход с урла с идентификаторм сессии, которая получена от другого пользователя закрытого раздела. (Так-как другой юзер может получить доступ до "чужой" информации).

Дополнительно идентифицировать по ай-пи немогу :(
Все юзера ходят исключительно через несколько прокси. Х-форвардед не передается.

Идеально было-б МАК-адрес... Только вот кто мне его даст...
К чему ещё можно привязать юзера?
Желательно срредствами ПХП
Без Кук, ДжаваСкрипта..

Посоветуйте, пожалуйста.
 

ForJest

- свежая кровь
Mr_Max
Браузер, ОС и Accept-Lang.
Но это всё легко подделать.
Так что ни к чему.
 

Ilya

Новичок
может вместе с сессиями использовать куки, устанавливать уникальную куку при старте сессии.
 
Mr_Max

Mr_Max

Первый класс. Зимние каникулы ^_^
Команда форума
2 antson, Ilya
Читаем внимательно вопрос
 
dvp

dvp

Новичок
Re: Авторизация пользователей на сайте с защитой от дурака?

Автор оригинала: Mr_Max
Идеально было-б МАК-адрес... Только вот кто мне его даст...
Нажмите для раскрытия...
Оффтоп: типичное заблуждение, что HTTP запрос может иметь MAC-адрес отправителя.
Как известно IP-пакет состоит из N фреймов, которые как раз и адресуются MAC-адресами. Один HTTP запрос может прийти на сервер от одного клиента и при этом отдельные его фреймы могут в поле "от" содержать разные MAC-адреса.
Объясняется это просто - данные, проходя через маршрутизаторы (подвергаясь ip-маршрутизации) в каждой из подсетей содержат в поле от MAC адрес переславшего его Роутера. А роутеры имеют возможность динамической маршрутизации и балансирования нагрузки, т.е. фреёмы одного HTTP запроса могут пройти разными путями до web-сервера.
Суть: web-сервер даже теоретически при всё своём желании может узнать лишь mac-адреса соседствующих с ним хостов (маршрутизаторов и конечных узлов).
 
Фанат

Фанат

oncle terrible
Команда форума
Читаем внимательно вопрос
Нажмите для раскрытия...
пупсик.
тебе шашечки или ехать?
тебе безопасная авторизация нужна, или задачу со своими условиями решить? Если второе - то обратись к студентам.
Если первое, то слушай, что говорят.
Чем тебя не устроила HTTP Auth, особенно, если её усились SSL-ем, для устранения проблем, на которые указал antson?
 
Mr_Max

Mr_Max

Первый класс. Зимние каникулы ^_^
Команда форума
2 ALL Извитите, если кого обидел.
2 Фанат HTTP Auth Идеальный вариант, но Апач, к сожалению апач запущен как CGI :( И только из-за этого меня не устраивает PHP_AUTH.
Извините, что я не уточнил это в своем вопросе.
Админ в отпуске... :((
 
Фанат

Фанат

oncle terrible
Команда форума
если HTTP Auth - Идеальный вариант, то и используй её. безо всякого касательства к пхп.
 
Vetal

Vetal

Новичок
выдерни админа из отпуска или у него пароль! =)
а если б у него ключи от оффиса были, вся контора через окно бы лазила?
 
Войдите или зарегистрируйтесь для ответа.
Сверху