Login + saját session-kezelés + elvi kérdés

Login + saját session-kezelés + elvi kérdés
2009-07-10T14:23:05+02:00
2009-07-10T15:46:32+02:00
2022-10-28T14:30:35+02:00
  • SeessionID + IP + HttpOnly.
    Mutasd a teljes hozzászólást!
  • a.
    Jól létod, mindegy, egyik se tökéletes megoldaá. Az IP talán jobb védelem, mert hátha mások nem jönnek ugyan arról az IP címről.

    b. Pl. Idönként törlöd

    c. A sessionhez rendeld hozzá az éppen aktuális ip címet, és akkor ha le is lopja, kevesebb az esélye, hogy illegálisan bejusson valaki.

    Mutasd a teljes hozzászólást!
  • Üdv.

    Belekeztem egy saját login rendszer írásába tanulás/gyakorlás képpen, de ezzel kapcsolatban felmerült bennem néhány kérdés.

    a) Jó felé indultam el?
    Amikor valaki megpróbál belépni (email cím + password), elmenti az adatait az adatbázisba ( ip, session, browser ), annak megfelelően, hogy sikeres-e vagy sem a belépés.
    Ha sikeres hozzárendeli a recordhoz a user ID-jét, különben növeli a számlálót. A harmadik sikertelen próbálkozás után csak captcha kitöltésével lehet belépni, a 10. alkalommal tiltás x időre.

    Ez most kicsit megfogott. Ip-t tiltsam és/vagy a sessiont? Ha csak a sessiont, akkor bezárja a böngészőt és újra.. IP-nél meg másokat is kitilthatok akiknek közük nem volt a dologhoz.

    b) Elegendő vagy megkerülhető?
    Ha belépett a belső oldalakon ellenőrzi, hogy a belépéskor használt ip, browser, session stimmel-e, illetve hogy hozzávan e rendelve a userID, ha nem, login form.

    Hogyan lehet ezt úgy kialakítani, hogy kevésbé halmozódjanak fel a már nem használt sessionok az adatbázisban?

    c)
    Sajnos csak free tárhelyen van lehetőségem tesztelésre ill. saját gépen. pl. az atw-n a /tmp mappában vannak a létrehozott sessionok. Ezekhez illetéktelenek számára mennyire van hozzáférésük/módjuk a kilistázására, lelopására vagy a tartalmuk megszerzésére? Erről még nem láttam leírást.
    _____________

    Esetleg mit lehetne még beleépíteni? Hogy nem szabad ezt csinálni? :) Persze az adatellenőrzés mindenhol.

    szerk: jah adsl-nél gondot jelenthet az automatikus ip-váltás.. ha azt el szeretném kerülni, hogy akkor is kidobja, akkor mit ellenőrizzek? session + browser csak? :S ugyanez csak ip-nélkül?.. bár ez nem tűnik jó megoldásnak..

    Előre is köszönöm a válaszokat.

    nhaz
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd