сессии

luka
Сессии на чем? Если механизм PHP - это одно, если самому организовать - выглядит иначе и сложней.

 

Ну без куки можно, а вот каким образом идентифицировать пользователя?
Вообще в ПХП встроены сессии уже...

 

И шо, что это перл?
Все сессии основанны на временных индификаторах.

Исключение - базовая авторизация. Хотя, вполне вероятно я ошибаюсь

Сколько будет пользователей, требующих авторизацию в системы?
Может есть смысл сделать связку SSL+базовая авторизация. Надежней я не знаю этой авторизации.

Зы. Лучше уж временные индификаторы, чем передача пароля в открытом виде, как поступают некоторые.

 

А при чем здесь авторизация вообще? Речь то о сессиях идет.

Правильнее сказать что так поступают большинство.

 

HTTPS спасет отца...

Срок жизни куки устанавливается хоть на год, хоть на минуту, хоть на сессию.

Читай адрес прокси (провайдера) и клиента. Вероятность совпадения при таком раскладе ничтожна (если только ты не предпологаешь посещаемость яндекса).

Это что?
Вообще объясни в каком контексте тебе нужны эти сессии, а то тут тебе одну теорию пишут.

 

luka

Ну... Это смотря как их передовать, даже без HTTPS.
если на каждый запрос будет присваиваться свой id-номер, с предвариельной проверкой старой, то фиг перехватишь... Но в этом случае одновремено нельзя делать более одого действия за раз.

Куки, кстати, гораздо удобнее. Поставил сессию на куки с Id и все. Перехватить довольно затруднительно, хотя и не исключено, особенно если учесть огромное количество дыр в браузераз (см. http://securitylab.ru )

Ну... Можно просто забить на тех, кто сидит через анаонимные прокси...

Первый раз встречаю эту абривиатуру... Разшифруй, плиз.

Кстати, я вполне серьезно говорю - лучший способ защиты - HTTPS и Id или базовая авторизация.

 

Базовая авторизация через апач несколько портит внешний вид сайта (это тебе как дизайнеру)

 

luka
Ну блин, каков вопрос, таков и ответ.
При чем тут сесии вообще? В классическом понимании сессии в веб это система сохранения информации на сеанс работы пользователя с сайтом.
Каким боком они касаются твоей задачи?
Тебе нужна авторизация по нттрs и работа с сокетами на низком уровне. А уж инфу свою гоняй по сети шифрованную и открывай на строне клиента закрытыми ключами.

 

VL

Первый раз слышу... Интересно...

 

Nekto
Ну так окошечко всплывет над твоим сайтом. Смотрится как то оторвано.

 

Они должны хранится в закриптованном виде. Отличном от ключиков.

 

luka
Какой ты любопытный.. Тебе зачем?

 

luka, хорошо, я не верно выразился. Теоретически они хранятся.
Теоретически - если Микрон ничего не изменил.
То собщение было моим.

 

Зашифрованы по МД5. Есно в куках ИД пользователя и пароль. Только не надо говорить что ты сможешь расшифровать такой пароль...

 

Нет, не бред. Имеено так и стоит делать. Нужно всегда стараться сводить к минимуму фигурирование пароля пользователя. И так поступают большинство опытных программеров.
А если ты имел ввиду еще и связку с ip - не вижу смысла.

 

Одно НО.
А если человека - диалапщика выкинуло?
Что будет на сервере когда он захочет войти под новым ip понятно?

Nekto

 

luka
В общем бестолковый разговор. Если ты серьезно занимаешься безопасностью, то должен знать что система безопасности это есть комплекс технических и ОРГАНИЗАЦИОННЫХ мер.
Просто, поверь, проще пистолет к башке приставить и ... все. Очень часто сталкивался с такими случаями. Человеческий фактор, блин.
А пароль любой мона сломать, по крайней мере методом подбора.