И снова про авторизацию, сессии и безопасность.

[trashcan]

И снова про авторизацию, сессии и безопасность.

Здравствуйте, не гоните меня пожалуйста в поиск, я уже постарался прочитать все что можно, но теперь в голове еще большая путаница.

Постараюсь сформулировать вопросы как можно более четко:

1. Правильно ли я понял, что кроме проверки IP (да и то до определенной степени) нет надежного способа средствами PHP защитить сессию от подмены.
2. Стоит ли использовать флаги авторизации, либо надо таскать пару логин/пароль в сессиии (есть ли разница таскать пароль либо его хэш).

Сбственно, пока это вроде все непонятные моменты, заранее благодарен.

 

[Апокалипсис]

trashcan
PHP FAQ: Сессии. Подробное описание работы и объяснение механизма.

2.как тебе угодно

 

[trashcan]

Читал и продолжаю читать каждый раз, когда сомневаюсь что понял правильно. Я имею ввиду ситуации, когда кто-то каким либо образом прехватил куку с ИД сессии, а потом послал ее сам.

 

[Апокалипсис]

trashcan
проверяй ip + можешь юзер-агент проверять...

 

[Фанат]

1. правильно. Если все настолько серьёзно - используйте SSL с сертификатами (почитать про них в поиске. начать можно с википедии)
2. Да, вполне. Причем таким флагом может служить, как раз, тот самый айпишник =)

 

[Апокалипсис]

При смене ip просто закрывай сессию, и адресуй юзера на форму логин\пароль

 

[trashcan]

Большое спасибо, теперь вроде все ясно.