Visszatérő felhasználó azonosítása
Sziasztok!
Mi a legbiztonságosabb módja annak, hogy egy visszatérő látogatót azonosítsak?
Konkrétan automatikus beléptetésről lenne szó, azt szeretném, ha a látogatóknak nem kellene minden látogatáskor beírni azonosítójuk és jelszavuk.
A gondom az, hogy amíg el nem indítom a user saját session-jét (ip címmel, stb.), addig az egyetlen kapocs közte és a lap közt egy cookie. Ebben a felhasználó azonosítóját, illetve néhány adatból képzett checksum-ot tárolok, de ez igazából lényegtelen, mert ha valaki lenyúlja a cookie-t, onnantól kezdve gyakorlatilag belépett a user helyett.
Mit gondoltok a fenti megoldásról? Ha rossz, mi a jó változat?
Előre is kösz!
■ Mi a legbiztonságosabb módja annak, hogy egy visszatérő látogatót azonosítsak?
Konkrétan automatikus beléptetésről lenne szó, azt szeretném, ha a látogatóknak nem kellene minden látogatáskor beírni azonosítójuk és jelszavuk.
A gondom az, hogy amíg el nem indítom a user saját session-jét (ip címmel, stb.), addig az egyetlen kapocs közte és a lap közt egy cookie. Ebben a felhasználó azonosítóját, illetve néhány adatból képzett checksum-ot tárolok, de ez igazából lényegtelen, mert ha valaki lenyúlja a cookie-t, onnantól kezdve gyakorlatilag belépett a user helyett.
Mit gondoltok a fenti megoldásról? Ha rossz, mi a jó változat?
Előre is kösz!
csak ötletek vannak
http://www.prog.hu/tudastar/?kbid=9151&ec=8
Bíztató ^^
munkamenet
Két malomban őrlünk?
A hangsúly első esetben nem a munkameneten van, hanem azon, hogy odáig hogy jutunk el. Mielőtt bármiféle munkamenet szóba jönne, honnan tudom, hogy egy regisztrált, korábban már belépett felhasználóról van szó, aki visszatért mondjuk három nap után, és akit szeretnék megkímélni attól, hogy újra be kelljen lépnie?
Másik esetben pedig megtisztelnél, ha kifejtenéd!
Amúgy cookie-k boncolgatásával, meg a Firefox LiveHttpHeader kiterjesztésével nézegettem, mi történik más lapoknál, de igazából mindenhol a cookie-ban rögzített felhasználói azonosító változatait játsszák. Ráadásul abban sem vagyok biztos, hogy mindenhol jól. ,)
a munkamenet a sütivel kezdődik
Leesett...
Ha már itt tartunk, megkérdezem: érdemes biztonságos kapcsolatot nyitni, és azon át közlekedtetni a session cookie-t? Nem üzleti jellegű lapról van szó, és személy szerint úgy gondolom, nem éri meg a fáradtságot, de örömmel fogadnám a témában a meglátásokat.
Mégsem megy
Próbáltam azt is, hogy a session_start()-ot a session_set_cookie_params() után hívom (és a feltételes blokkon kívül _is_), de akkor sem jó.
Az ini_set()-tel próbáltam manipulálni a session.cookie_lifetime-ot is, session.gc_maxlifetime-ot is, de semmi haszna. :(
Tudna valaki javaslattal szolgálni? Előre is köszönöm!
Elhalt a téma...