|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Konstantin Tokar 2:5020/400 17 May 2001 14:24:40
To : All
Subject : Re: session_id
--------------------------------------------------------------------------------
Ilya Rubtsov wrote:
>
> > Я только не понял, зачем разделены session и sescode. И как ты будешь
> Чтобы нельзя было подобрать(код), и чтобы идентификационная строка(id)
> никогда не повторялась.
>
> > поступать с запросами от тех, кто подглядел сниффером эти параметры и со
> > своей машины полез в твою систему - с легальными session и sescode. Вот
> > если бы на сервере каждому session соответствовала запись о ip и версии
> > браузера (или что-то ещё), мне кажется, было бы надежнее.
> Сниффер? Hу, извиняюсь, от него только криптование поможет... IP не
> уникальный параметр(т.к. есть прокси), а user-agent выставляется ручками на
> ура...
ip придется знать, ибо сниффер - реальность. Так же можно просто из-за
плеча подглядеть...
прокси обычно никто не меняет по ходу сеанса, а приличные ещё пишут и
адрес в private. (пример ниже)
user-agent знать конечно не обязательно, но при подглядывании из-за
плеча можно узнать номер сессии, а версию браузера и его настройки типа
accept и т.д. не получится.
Приммер ответа прокси-сервера:
GET / HTTP/1.1
User-Agent: Mozilla/4.75 [en] (WinNT; U)
Host: xxxx.xxxxx.ru:8080
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png,
*/*
Accept-Encoding: gzip
Accept-Language: en,pdf
Accept-Charset: iso-8859-1,*,utf-8
Cookie: SITESERVER=ID=74730d1eb043ec2520b508dda5305c1d
Connection: close
X-Forwarded-For: 10.4.2.1
Via: cache.domain.ru:3128 (Oops 1.5.2)
--
Konstantin Tokar (http://www.mpei.ac.ru/tokar)
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
