Меню
Что нового?

Как "спрятать" признак удачной авторизации

4m@t!c

Александр
Как "спрятать" признак удачной авторизации

Делаю авторизацию. Сессии передаются в куках. После удачной авторизации клиенту вешается кука-хеш. И в дальнейшем проверяется кука-хеш клиента и REMOTE_ADDR.Немного обкатал схему. Подумал, что нужно сделать так, что бы работало и без кук. Т.е. SESSID и кука-хеш будут передаваться в урле. Но тут возник момент, который заставил задуматься.
Ситуация. Клиент авторизуется - в урле висит SESSID и признак авторизации. Клиент по аське отдает урлу другу(врагу), и тот, кто кликает по ссылке получает все права и сессию. Верней не получает, потому что я проверяю еще и REMOTE_ADDR. В итоге пропадет авторизация и того, кто давал ссылку.
Я слышал что-то за mod_rewrite. Подскажите, пожалуйста, спасет ли он мой механизм или нет? Или существует како-йто другой механизм? Формулирую вопрос так, потому ято Я не хочу торопиться и учить то, до чего еще не дорос. Освою передачу данных, а потом буду усложнять задачи.
 

SiMM

Новичок
mod_rewrite тут не при делах (ума не приложу, зачем он здесь?), ну а для пущей надёжности можешь ещё до кучи приходящие от пользователя хидеры хранить (юзер-агента, к примеру, и "проксёвые" фишки при их наличии). Конечно 100% гарантии от пользователя, который сам себе злобный буратино, это не даст.
 

Orlis

Guest
все данные, касающиеся конкретной сессии должны храниться в данных сессии НА СЕРВЕРЕ

для того, чтобы работала сессия нужно уметь передавать от страницы к странице SESSID, как ты собрался это делать несущественно

ничего страшнее, чем ввести заново пароль, пропажа авторизации не несет

mod_rewrite занимается преобразованием URI в реальные файлы на сервере, связь его с SESSID весьма абстрактная
 

SiMM

Новичок
> ничего страшнее, чем ввести заново пароль, пропажа авторизации не несет
А теперь представим на месте этого щедрого человека админа или модератора форума. И, допустим, поделился он с клиентом с таким же, как и у него, IP'ом (ну сидят они через NAT, то ли в локалке, то ли пров "экономный"). Как ты думаешь, много может дров наломать тот, кто получит доступ?
 

MacTen

Новичок
Re: Как "спрятать" признак удачной авторизации

Автор оригинала: 4m@t!c
Клиент авторизуется - в урле висит SESSID и признак авторизации. Клиент по аське отдает урлу другу(врагу), и тот, кто кликает по ссылке получает все права и сессию. Верней не получает, потому что я проверяю еще и REMOTE_ADDR. В итоге пропадет авторизация и того, кто давал ссылку.
Нажмите для раскрытия...
Так ты не убивай авторизацию.
проверяешь sessid и соответствующий ему REMOTE_ADDR. если соответствует - все ОК. если нет - то просто покажи, что доступ запрещен и все. авторизацию не убивай.
 

4m@t!c

Александр
Вот и я вижу в тредах, что идет преобразование URI...
Вообщем, я понял, что я делаю все правильно, и что для моего "архизашифрованного" сайта вполне хватит тех манипуляций, что я делаю. Т.е. проверить хеш и REMOTE_ADDR для конкретной сессии. Спасибо.
 
Фанат

Фанат

oncle terrible
Команда форума
товарищ начитался статьи на деталях.
и колбасит его совершенно закономерно
 

Orlis

Guest
SiMM> если щедрый модератор потерял авторизованную сессию, он не сможет ей поделиться. какие тут дрова?
 
Войдите или зарегистрируйтесь для ответа.
Сверху