Care este rolul sesiunilor?

danutz0501, on 14 octombrie 2012 - 23:52, said:

Ba nu e chiar un vis, pe langa acel id unic ar putea sa adauge si ip-ul persoanei care a dat remeber, astfel sa nu merga sa te loghezi de pe alt pc cu cooki-ul ala.

http://security.stac...an-http-request
Primul raspuns e cel mai relevant.

Cum a zis si nemesis(sper ca nu am gresit numele), marea majoritate au acum ip dinamic. In momentul cand a dat restart la pc are alt ip, ce sistem "remember me" mai e daca incluzi ip-ul?
O idee buna ar fi fost macul, dar merge doar LAN, WAN afli macul ultimului ruter, sertver etc nu al end user-ului.

Eu ti-am raspuns strict la problema HTTP IP spoofing.
Legat de remember me n-am comentat nimic pentru ca stiu ca nu exista nicio solutie sigura.

Bun as mai cavea cateva intrebari.
De exemplu pe multe site-uri am regasit acele comentboxuri facebook, acum ceva timp am inteles ca facebook iti monitorizeaza activitatea pe internet, m-am gandit ca scriptul de comentbox ce ruleaza pe siteul a.com trimite un cookie ce poate fi citit de facebook.com(si am aflat ca nu se poate), apoi m-am gandit ca in momentul cand un user posteaza ceva scriptul incepe sa verifice domeniul pe care ruleaza si sa trimita data asta catre facebook(probabil in baza de date unde se stocheaza infromatiile clientului). Apoi mi-am dat seama ca pe multe siteuri pe langa coment boxuri facebook mai regasim si alte elemente marca facebook precum ar fi butoanele de like & stuff, as putea aplica si in cazul asta scenariul de mai sus dar ma gandesc ca exista un mecanism mai complex.
Intrebare - Scriptul de coment box ce este incarcat de pe serverul facebook dar ruleaza pe siteul x.com ar putea sa trimita catre navigator un cookie ce este destinat facebook.com?

In cazul sesiunilor am aflat ca id-ul sesiuni se salveaza si pe calculatorul userului, deci la fiecare rulare a scriptului se retrimite acest id.
Intrebare - Daca gigel s-a logat la a.com acesta a primit un id si unu mai smecher pune mana pe acest id ar trebuii sa acceseze paginile siteului pe care era logat gigel fara probleme, dar in timpul asta ar fi amandoi logati simultan ce intampla in cazul asta?

Intrebare: In cazul mai multor siteuri ce ruleaza pe acelas server cum se face corespondenta dintre sesiuni si siteul carui corespunde acea sesiune, adica pe serveru x ruleaza si a.com si b.com si pe ambele siteuri se logheaza userii, fisierele cu sesiuni se pun la gramada(nu am reusit sa gasesc informatii despre acest mecanism)?

MDCristi, on 16 octombrie 2012 - 22:10, said:

Tu eşti conştient că asta ţine de programarea clientului, şi n-are nimic de-a face cu server-side, nu? De ce întrebi aici atunci? Avem o arie pentru scripting languages, unde se încadrează şi javascript.

MDCristi, on 16 octombrie 2012 - 22:10, said:

Da

MDCristi, on 16 octombrie 2012 - 22:10, said:

Nu (neapărat).

MDCristi, on 16 octombrie 2012 - 22:10, said:

Se întâmplă ceea ce ai instrucţionat tu (programatorul PHP) aplicaţia să facă. Asta poate fi de la nimic, până la lansarea unei rachete cu focos nuclear.

MDCristi, on 16 octombrie 2012 - 22:10, said:

În cazul unei coliziuni, PHP generează id de sesiuni până găseşte un id liber. Asta dacă nu l-ai instrucţionat să salveze sesiunile altundeva/altcumva (vezi session handler), şi accepţi euristica standard.

Am impresia ca singra documentatie asupra "cookies" pe care ai citit-o e "revista" cancan.
Cand eu ti-am spus ca exista documentatie tu in loc sa te pui sa o citesti te-ai gandit "asta o citit-o si imi poate explica si mie".

nu toti inteleg limbajul tehnic englezesc, de aia intreaba pe aici..
iar documentatie php in romana nu prea gasesti..

http://ro.wikipedia.org/wiki/Cookie

Nemesis-, on 17 octombrie 2012 - 12:26, said:

Dacă nu eşti dispus să înveţi terminologia în engleză, nu prea ai ce să cauţi în IT.