перехват сессии

[Toshka]

перехват сессии

возможно ли это и как от этого защитится? стоит ли заморачиватся?

 

[Фанат]

не передавать через урл
контролировать ip

 

[Malius]

если идет контроль ip - то саму сессию мона и через url передавать...(хотя, наверно, не стоит этого делать)

да это не сильная заморочка:

создай в массиве $_SESSION переменную с ip и помести туда ip при отткрытии сессии - и всегда сравнивай это значение с истинным ip иначе закрывай сессиию...

 

[vadim]

....есть ещё ip-masquerading....

Есть кто захочет украсть (и умеет это делать), тот украдёт, и ничего мы с этим не поделаем

1) С другой стороны для нормального функционирования сайта без сессий не обойтись
2) Если юзер настолько глуп, что пустил своего "приятеля" за компьютер с открытой страницой онлайн счёта в банке, то тут мы уже ничего не поделаем.

мой вывод: сильно заморачиваться не стоит

 

[Toshka]

значит проблема есть
а если делать проверку вроде этой
md5($_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_CHARSET'].$_SERVER['REMOTE_ADDR']);
и если что - убивать сессию? какие еще отличительный переменные можно использовать?

 

[Фанат]

значит проблема есть

напоминает анекдот "А! Значит, были апельсины!"

какие еще отличительный переменные можно использовать?

phpinfo();
http://phpclub.ru/detail/

 

[Toshka]

в общем, чего и следовало ожидать спасибо, буду пробовать