Witam buduję swoją aplikację. Staram się utrudnić życie kombinatorom.

Pseudokod:

[PHP] pobierz, plaintext 
 
	// ktoś wchodzi na strone.
 
	stworzenie_sesji()
	{
		- generowanie keya sesji
		- zapis do bazy (userid=0, useragent, ip) // niezalogowany userid 0
		- zapis id rekordu z tabeli sesji do 'sid' w SESSION
		- zapis keya w SESSION
	}
 
	jako niezalogowany
	{
		stworzenie_sesji();
		nakaz_zalogowania();
	}
 
	logowanie()
	{
		- zmodyfikowanie keya sesji
		- zapis keya w SESSION
	}
 
	jako zalogowany
	{
		pobranie danych z tabeli sesji - rekord o 'sid'
 
		porównanie:
		- klucza zapisanego w sesji
		- adresu ip
		- useragent
		z rekordem w tabeli sesji
 
		jeżeli któreś z powyższych się nie zgadza
		{
			niszczenie sesji
			usuwanie wpisu sesji z tabeli
			nakaz_zalogowania();
		}			
	}
 
[PHP] pobierz, plaintext 

W sesji php trzymam tylko:

'sid' czyli id rekordu z tabeli sesji
skey czyli unikalny identyfikator sesji taki sam zapisywany jest w rekordzie sesji

Sessionid trzymane i przekazywane tylko w ciastku.
Zmiana sessionid przez session_regenerate_id.

Rozmyślałem też nad trzymaniem ip,useragent i userid w sesji żeby rzadziej korzystać z tabeli sesji.

Coś poprawić? Jakieś sugestie?

UserAgent nie jest żadnym zabezpieczeniem... Jak dla mnie zabiera tylko miejsce... ;)

Wiem ale w połączeniu z porównywaniem ip i ciągu generowanego przy starcie sesji, zalogowaniu i porównywaniu go z ciągiem zapisanym w tabeli sesji już chyba lepiej? Mówcie co można ulepszyć w logice.

Oczywiście, że jest.

Tylko po co?

Jest kolejnym elementem układanki, którą trzeba ułożyć w całość, żeby wygrać, a im więcej elementów tym trudniej/dłużej. Choć oczywiście jest to prowizoryczne, jednak jest.

Akurat to ten najłatwiejszy element, który moim zdaniem najwięcej zajmuje... EOT

Załóżmy, że obaj userzy mają najnowszego ff i autoupdate. Wtedy rzeczywiśćie identyfikacja przez UA leży.

Nic się nie dowiedziałem.

Odświeżam.

// edit.

Jesteście zajebiście pomocni. Nic się nie dowiedziałem. Nie mam pojęcia po co w ogóle ten dział istnieje.

Trudno, aby w mechanizmie sesji tworzyć coś nowego, jakbyś poświęcił 5 sekund na użycie wyszukiwarki, zobaczyłbyś "kilka" postów z tym związanych, w których, wypowiedzi użytkowników forum wyczerpały temat.
A w Twoim kodzie, nie zauważyłem "czasu".

Mogą mieć systemy inne, inne wersje samego systemu 32 i 64 bit a czasami też to jest pokazane.

Można też dodać:
$_SERVER['HTTP_ACCEPT_LANGUAGE']

etc.

Wystarczy wyprintować sobie $_SERVER na różnych przeglądarkach i zobaczyć co się zmienia.

może jeszcze sprawdźmy jaką mają rozdzielczość ekranu... jak już pisano wyżej - to jest kolejne zabezpiecznie... tylko czasem po co to robić... ;)

btw. włączony autoupdate nic nie daje, to nie o to chodzi w tym... Safari w narzędziach dla Developerów ma możliwość w menu wpisania w User Agent czegokolwiek i będzie wszystko działało...

Ok. co ile regenerować id sesji po określonej liczbie żądań czy co jakiś czas np. 3 min?

Nie wiedziałem, że takie rzeczy da się wyczytać z poziomu PHP

Nie z poziomu php ale można tego użyć, odczytywać js, ajaxem przesyłać i już

Wiem, jak i wiele innych zmiennych środowiskowych, ale sesja to PHP, a takie rzeczy to już jak dla mnie bardziej pod everocookie podchodzą.
Sesja powinna działać niezmiennie w różnych urządzeniach (brak javascriptu, wyłączony).

No to albo masz dodatkowo rozdzielczość albo nie masz, jak nie masz to omijasz ten warunek. Kto normalny teraz wyłącza js?

Ja i 2 miliony użytkowników firefox.

btw. i co? proponujesz w tablicy bazodanowej z sesją dodatkową kolumnę "resolution"?

ojej lol - o rozdzielczości napisałem to w ramach żartu na temat przesadności takich zabezpieczeń...
ogólnie jestem przeciwny nawet zapisywaniu UserAgent jako wyznacznika użytkownika... ;) co chyba jasno wynikało z tego tematu...

ps. "normalny" użytkownik internetu nie wyłącza js bo facebook nie działa wtedy... 2 milinoy użytkowników Firefoxa to mniej niż 0,5% wszystkich użytkowników Firefoxa (tylko Firefoxa)

I jedno i drugie. Choć sprawdzanie czy jest ok co 3 min może być kłopotliwe, w zależności od serwisu.

To że wtyczka ściągnięta i zainstalowana - nie znaczy że używana. Poza tym to jest chyba licznik ściągnięć, a jak każdy ściąga po kilka razy.... no to się robi malutki procent użytkowników rzeczywiście używających danej wtyczki . Też mam NoScript, ale używam jej tylko do analizy podejrzanych aplikacji.

Nie wyobrażam sobie surfowania po internecie bez JS. To tak jakby wbić sobie gwóźdź w kolano i iść na spacer. Niby można, ale... (zwłaszcza że JS / AJAX się bardzo teraz rozwija)

Ja uważam, że to świetna wtyczka ponieważ blokuje naprawdę dużo syfu typu "ukryte lajki", dużo skryptowych i nachalnych reklam.
Poza tym wejście z noscirptem na zainfekowaną stronę nie powoduje pobrania wirusa (wyłączam na chwilę - od razu antywirus alarmuje), z noscriptem jeszcze nigdy mi się nie zdarzyło złapać niczego z sieci. Zabezpiecza też przed atakami np. CSRF. No i przecież ta wtyczka blokuje tylko skrypty określone przez użytkownika, nie wszystkie.. Wiadomo, że są strony, które bez JS w ogóle tracą funkcjonalność.

To tylko jedna wtyczka, która tak działa, JS można po prostu wyłączyć. Nie wiem w jakiej wersji, abo po jakimś autoupdate ale w IE miałem skrypty wyłączone domyślnie. Mamy jeszcze urządzenia mobilne starszej generacji, przeglądarki specjalistyczne itp. W każdym razie upieram się, że sesja powinna być rozwiązaniem serwerowym.

a kto powiedział, że nie powinna być takim rozwiązaniem...